自学思科SD-WAN OMP协议原理详解(Overlay Management Protocol)
目录:
- 章节1:什么是 overlay 路由?
- 章节2:Overlay Management Protocol?
- 章节3:在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)
- 章节4:路由重分布(本地到OMP、OMP到本地)
- 章节5:简单的show命令
一、什么是 overlay路由?
?
OMP 在以下情况扮演了重要角色:
- 编排:站点之间的路由和安全连接;服务链接;VPN拓扑
- 路由分布
- 数据平面安全性参数的分布
- 路由策略的分配
二、Overlay Management Protocol?
- 基于TCP的可扩展控制平面协议
- 在vEdge路由器和vSmart控制器之间以及vSmart控制器之间运行:内部永久TLS / DTLS连接 ;开机自动启用
- vSmarts创建OMP对等方的完整网格
- vEdge路由器不需要与所有vSmart建立peer(如上图三台vSmart,vEdge默认只与其中两台vSmart控制层面链接,另一台就是备份)
三、在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)
?三种主要路由:
- OMP routes (常叫做 vRoutes)—在使用OMP协调的传输网络的端点之间建立可达性的前缀。 OMP路由可以代表中央数据中心中的服务,分支机构中的服务,或覆盖网络中任何位置的主机和其他端点的集合。 OMP路由需要并解析为功能转发的TLOC。 与BGP相比,OMP路由等效于任何BGP AFI / SAFI字段中携带的前缀。
- Transport locations (TLOCs)—将OMP路由绑定到物理位置的标识符。 TLOC是OMP路由域中唯一对下层网络可见的实体,并且必须可以通过OC中的路由来访问它。基础网络。 TLOC可以通过物理网络路由表中的条目直接访问,或者必须由位于NAT设备外部的前缀表示,并且必须包含在路由表中。 在与BGP相比,TLOC充当OMP路由的下一跳。
- Service routes—将OMP路由与网络中的服务相关联的标识符,指定服务在网络中的位置。 服务包括防火墙,入侵检测系统(IDP)和负载平衡器。 服务路由信息同时包含在服务路由和OMP路由中。
3.1 OMP routes (常叫做 vRoutes)
- 从本地服务端学到的路由(如上图三条路由动态、静态、直连,也统称服务策略ServiceSide)
- 宣告给vSmart控制器(通过控制层面) ,vSmart通过OMP协议宣告给其他的vEdge
- 最突出的属性:
自学思科SD-WAN OMP协议原理详解(Overlay Management Protocol)
目录:
章节1:什么是 overlay 路由? 章节2:Overlay Management Protocol? 章节3:在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由) 章节4:路由重分布(本地到OMP、OMP到本地) 章节5:简单的show命令一、什么是 overlay路由?
?
OMP 在以下情况扮演了重要角色:
编排:站点之间的路由和安全连接;服务链接;VPN拓扑 路由分布 数据平面安全性参数的分布 路由策略的分配二、Overlay Management Protocol?
基于TCP的可扩展控制平面协议 在vEdge路由器和vSmart控制器之间以及vSmart控制器之间运行:内部永久TLS / DTLS连接 ;开机自动启用 vSmarts创建OMP对等方的完整网格 vEdge路由器不需要与所有vSmart建立peer(如上图三台vSmart,vEdge默认只与其中两台vSmart控制层面链接,另一台就是备份)三、在OMP中发布的路由类型(OMP 路由、TLOC 路由、Network-service 路由)
?三种主要路由:
OMP routes (常叫做 vRoutes)—在使用OMP协调的传输网络的端点之间建立可达性的前缀。 OMP路由可以代表中央数据中心中的服务,分支机构中的服务,或覆盖网络中任何位置的主机和其他端点的集合。 OMP路由需要并解析为功能转发的TLOC。 与BGP相比,OMP路由等效于任何BGP AFI / SAFI字段中携带的前缀。 Transport locations (TLOCs)—将OMP路由绑定到物理位置的标识符。 TLOC是OMP路由域中唯一对下层网络可见的实体,并且必须可以通过OC中的路由来访问它。基础网络。 TLOC可以通过物理网络路由表中的条目直接访问,或者必须由位于NAT设备外部的前缀表示,并且必须包含在路由表中。 在与BGP相比,TLOC充当OMP路由的下一跳。 Service routes—将OMP路由与网络中的服务相关联的标识符,指定服务在网络中的位置。 服务包括防火墙,入侵检测系统(IDP)和负载平衡器。 服务路由信息同时包含在服务路由和OMP路由中。3.1 OMP routes (常叫做 vRoutes)
从本地服务端学到的路由(如上图三条路由动态、静态、直连,也统称服务策略ServiceSide) 宣告给vSmart控制器(通过控制层面) ,vSmart通过OMP协议宣告给其他的vEdge 最突出的属性:1
2
3
4
5
6
7
8
9
10
TLOC #vRoute的下一跳的传输位置标识符。 它类似于BGP NEXT_HOP属性。 (系统IP地址,颜色,封装类型)Site-ID #站点IDTag? #路由的tagPreference? #? #OMP路由的优先级。 较高的优先级值是更优选的。Originator System IP? #路由始发者的OMP标识符,即从中获知路由的IP地址(对端的管理IP地址)。Origin Protocol? #原始路由协议(如动态、静态、直连),以及与原始路由关联的度量。Origin Metric #原始路由AS PATH? #? 路径Label?? #? 标签VPN ID? # 内网分成VPN的ID
上图例子:三台vEdge设备S1 WAN IP /TLOC:1.1.7.11(上联Transport端口)? S2:1.1.17.16? S3:1.1.12.13,它们有共同站点内网VPN1(如果若新增VPN1、VPN2,相互之间默认无法互通)
1
2
3
4
5
第一步:OMP协议从S1设备学习到OSPF路由第二步:vSmart通过控制层面隧道学习到OSPF路由第三步:vSmart自身应用路由策略第四步:vSmart向其他站点反射路由信息(就从S1学习到的OSPF路由反射给S1和S3)第五步:其他站点将路由信息重分布给自己内网站点的路由协议
1
2
3
4
5
6
7
8
9
10
11
c---chosen:表示路由选择(可以理解为最佳路由)I---Installed:已加载路由,放置至路由表中Red----redistributed:重分布Rej---rejected:拒绝L---looped:环路R---resolved:解析成功S---stale:Ext---estrange:Inv---invalid:非法的Stg---staged:U---TLOC unresolved: 解析不成功的
3.2 Transport locations (TLOCs)
将连接位置路由到物理网络 宣告给vSmart控制器 最突出的属性:
1
2
3
4
5
6
7
8
9
10
11
Site-ID? # 站点IPEncap-SPI? # 封装Encap-Authentication? #? 封装认证方式Encap-Encryption? # 封装加密方式Public IP? # 公网IPPublic Port? #公网端口Private IP? # 私网IPPrivate Port # 私网端口BFD-Status #Tag? #Weight? #? 权重
5个vEdge,每个vEdge分别有两个网络MPLS和INET 每个vEdge都需要和vSmart建立控制层面隧道,宣告给了vSmart; vSmart将TLOCs宣告给所有vEdge 数据层面,所有vEdge之间建立IPsec隧道,成功后存在三种IPsec Tunnel:MPLS---MPLS;INET---INET;MPLS---INET(一般不存在)
vEdge连接两个网络,Internet(VM12)、MPSL(VM14);分别标记链路颜色gold和mpls; vEdge的站点ID设置为100,sysytem-IP:172.1.100.6;与其他vEdge的IP是私网互通(前提OMP通告成功) TLOC:通告的私网内网地址,颜色,链路封装 ; 从vSmart查看去往vEdge有两条TLOC;
如果两个vEdge分别存在两条链路均是internet(如1条电信1条联通),查看vEdge设备的应该存在4条tunnel; 选项“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”,如果不选择该项默认只要OMP成立建立所有tunnel; 如果选择,不同颜色的TLOC不会建立tunnel(如上图T2和T4,T2和T3不会建立tunnel); 如果两个vEdge分别存在两条链路是internet和MPLS,查看vEdge设备的应该存在2条tunnel(intetnet和MPLS不互通);
??
广告网络服务的路由,即通用防火墙,IDS,IPS 公布给vSmart控制器 最突出的属性:
1
2
3
4
5
6
7
VPN-IDService-ID (FW, IDS, IDP or generic net-svc)Originator System IPTLOCLabelOriginator-idPath-id3.3 Network-Service routes
宣告网络服务的路由,即通过防火墙、IDS、IPS? ?; (即是在某台vEdge内网存在一台防火墙,想实现所有路由经防火墙的inside进去,outside出来,做到流量清洗、过滤和检查等) 宣告给vSmart控制器 最突出的属性:
1
2
3
4
5
6
7
VPN-IDService-ID #FW, IDS, IDP or generic net-svcOriginator System IPTLOCLabelOriginator-idPath-id3.4? ?选择从多个vEdge设备获知的OMP路由
默认值:vSmart通告的4条路径? (也可以更改) 可以将备份路由发布到vEdge,以实现更快的融合SD-WAN? OMP路由宣告:
1
2
3
4
5
6
7
8
1.下一跳的TLOC可达(TLOC IP要宣告到overlay network中)2.路由源的优先级,首选起源于vedge-route,备选起源于vsmart-route3.AD管理距离,选择管理距离最小的OMP路由(OMP?default?250)4.路由优先级,选择最高preference的vroute5.TLOC优先级,选择最高的TLOC preference(vedge IP)6.origin(路由起源)(是vedge宣告service-side路由进入overlay网络)按照传统路由方式顺序选择(直连->静态->EBGP->O->O IA->O E1/E2->IBGP->unknown)7.裁判1选择最高的system-IP宣告的vroute (vedge router-id)8.裁判2选择最高的?private?TLOC IP宣告的vroute(默认public?TLOC IP=private?TLOC IP)
四、路由重分布(本地到OMP、OMP到本地)
4.1??服务(本地-----站点)路由到OMP,自动重分布,即是去往vSmart的路由
路由自动重分布(用户端service端可能是直连的,静态的,OSPF区域间和OSPF区域内) 但是,除了BGP和OSPF外部路由(因为有可能造成环路),需要特殊配置
?4.2??OMP到服务(站点----本地)路由,即是从vSmart回来的路由
需要在每个路由器上本地手动配置 避免路由过度传播到本地协议4.2.1 OSFP路由重分布
如果采用ospf外部路由, 通告时采用DN比特位,用于防止环路;
4.2.2 BGP路由重分布
?AS-Path 不可传递起源扩展社区站点设置用于环路检测So0-0:site-id?
?
五 、简单的show命令
1
2
3
4
5
show omp peers? 显示活动的 OMP 邻居show ip route?? 显示本地路由表中的条目show omp routes? 显示所有OMP路由信息show omp tlocs?? 显示宣告的TLOC路由show omp summary? 显示OMP会话的信息
上图例子:三台vEdge设备S1 WAN IP /TLOC:1.1.7.11(上联Transport端口)? S2:1.1.17.16? S3:1.1.12.13,它们有共同站点内网VPN1(如果若新增VPN1、VPN2,相互之间默认无法互通)
| 1 2 3 4 5 |
|
| 1 2 3 4 5 6 7 8 9 10 11 |
|
3.2 Transport locations (TLOCs)
- 将连接位置路由到物理网络
- 宣告给vSmart控制器
- 最突出的属性:
| 1 2 3 4 5 6 7 8 9 10 11 |
|
- 5个vEdge,每个vEdge分别有两个网络MPLS和INET
- 每个vEdge都需要和vSmart建立控制层面隧道,宣告给了vSmart; vSmart将TLOCs宣告给所有vEdge
- 数据层面,所有vEdge之间建立IPsec隧道,成功后存在三种IPsec Tunnel:MPLS---MPLS;INET---INET;MPLS---INET(一般不存在)
- vEdge连接两个网络,Internet(VM12)、MPSL(VM14);分别标记链路颜色gold和mpls;
- vEdge的站点ID设置为100,sysytem-IP:172.1.100.6;与其他vEdge的IP是私网互通(前提OMP通告成功)
- TLOC:通告的私网内网地址,颜色,链路封装 ; 从vSmart查看去往vEdge有两条TLOC;
- 如果两个vEdge分别存在两条链路均是internet(如1条电信1条联通),查看vEdge设备的应该存在4条tunnel;
- 选项“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”,如果不选择该项默认只要OMP成立建立所有tunnel; 如果选择,不同颜色的TLOC不会建立tunnel(如上图T2和T4,T2和T3不会建立tunnel);
- 如果两个vEdge分别存在两条链路是internet和MPLS,查看vEdge设备的应该存在2条tunnel(intetnet和MPLS不互通);
??
- 广告网络服务的路由,即通用防火墙,IDS,IPS
- 公布给vSmart控制器
- 最突出的属性:
| 1 2 3 4 5 6 7 |
|
3.3 Network-Service routes
- 宣告网络服务的路由,即通过防火墙、IDS、IPS? ?; (即是在某台vEdge内网存在一台防火墙,想实现所有路由经防火墙的inside进去,outside出来,做到流量清洗、过滤和检查等)
- 宣告给vSmart控制器
- 最突出的属性:
| 1 2 3 4 5 6 7 |
|
3.4? ?选择从多个vEdge设备获知的OMP路由
- 默认值:vSmart通告的4条路径? (也可以更改)
- 可以将备份路由发布到vEdge,以实现更快的融合
SD-WAN? OMP路由宣告:
| 1 2 3 4 5 6 7 8 |
|
四、路由重分布(本地到OMP、OMP到本地)
4
?
- ?AS-Path 不可传递起源扩展社区站点设置用于环路检测So0-0:site-id
?
?
五 、简单的show命令
| 1 2 3 4 5 |
|