碼上快樂

相關內容    簡體    繁體

自學思科SD-WAN OMP協議原理詳解(Overlay Management Protocol)

本文轉載自   查看原文   2021-01-13 14:59   1318 

點擊返回:思科SD-WAN實戰課

自學思科SD-WAN OMP協議原理詳解(Overlay Management Protocol)

目錄:

  • 章節1:什么是 overlay 路由?
  • 章節2:Overlay Management Protocol 
  • 章節3:在OMP中發布的路由類型(OMP 路由、TLOC 路由、Network-service 路由)
  • 章節4:路由重分布(本地到OMP、OMP到本地)
  • 章節5:簡單的show命令

一、什么是 overlay路由?

 

OMP 在以下情況扮演了重要角色:

  • 編排:站點之間的路由和安全連接;服務鏈接;VPN拓撲
  • 路由分布
  • 數據平面安全性參數的分布
  • 路由策略的分配

二、Overlay Management Protocol 

  • 基於TCP的可擴展控制平面協議
  • 在vEdge路由器和vSmart控制器之間以及vSmart控制器之間運行:內部永久TLS / DTLS連接 ;開機自動啟用
  • vSmarts創建OMP對等方的完整網格
  • vEdge路由器不需要與所有vSmart建立peer(如上圖三台vSmart,vEdge默認只與其中兩台vSmart控制層面鏈接,另一台就是備份)

三、在OMP中發布的路由類型(OMP 路由、TLOC 路由、Network-service 路由)

 三種主要路由:

  • OMP routes (常叫做 vRoutes)—在使用OMP協調的傳輸網絡的端點之間建立可達性的前綴。 OMP路由可以代表中央數據中心中的服務,分支機構中的服務,或覆蓋網絡中任何位置的主機和其他端點的集合。 OMP路由需要並解析為功能轉發的TLOC。 與BGP相比,OMP路由等效於任何BGP AFI / SAFI字段中攜帶的前綴。
  • Transport locations (TLOCs)—將OMP路由綁定到物理位置的標識符。 TLOC是OMP路由域中唯一對下層網絡可見的實體,並且必須可以通過OC中的路由來訪問它。基礎網絡。 TLOC可以通過物理網絡路由表中的條目直接訪問,或者必須由位於NAT設備外部的前綴表示,並且必須包含在路由表中。 在與BGP相比,TLOC充當OMP路由的下一跳。
  • Service routes—將OMP路由與網絡中的服務相關聯的標識符,指定服務在網絡中的位置。 服務包括防火牆,入侵檢測系統(IDP)和負載平衡器。 服務路由信息同時包含在服務路由和OMP路由中。

3.1 OMP routes (常叫做 vRoutes)

  • 從本地服務端學到的路由(如上圖三條路由動態、靜態、直連,也統稱服務策略ServiceSide)
  • 宣告給vSmart控制器(通過控制層面) ,vSmart通過OMP協議宣告給其他的vEdge
  • 最突出的屬性: 
    TLOC #vRoute的下一跳的傳輸位置標識符。 它類似於BGP NEXT_HOP屬性。 (系統IP地址,顏色,封裝類型)
Site-ID #站點ID
Tag  #路由的tag
Preference  #  #OMP路由的優先級。 較高的優先級值是更優選的。
Originator System IP  #路由始發者的OMP標識符,即從中獲知路由的IP地址(對端的管理IP地址)。
Origin Protocol  #原始路由協議(如動態、靜態、直連),以及與原始路由關聯的度量。
Origin Metric #原始路由
AS PATH  #  路徑
Label   #  標簽
VPN ID  # 內網分成VPN的ID

上圖例子:三台vEdge設備S1 WAN IP /TLOC:1.1.7.11(上聯Transport端口)  S2:1.1.17.16  S3:1.1.12.13,它們有共同站點內網VPN1(如果若新增VPN1、VPN2,相互之間默認無法互通)

第一步:OMP協議從S1設備學習到OSPF路由
第二步:vSmart通過控制層面隧道學習到OSPF路由
第三步:vSmart自身應用路由策略
第四步:vSmart向其他站點反射路由信息(就從S1學習到的OSPF路由反射給S1和S3)
第五步:其他站點將路由信息重分布給自己內網站點的路由協議

c---chosen:表示路由選擇(可以理解為最佳路由)
I---Installed:已加載路由,放置至路由表中
Red----redistributed:重分布
Rej---rejected:拒絕
L---looped:環路
R---resolved:解析成功
S---stale:
Ext---estrange:
Inv---invalid:非法的
Stg---staged:
U---TLOC unresolved: 解析不成功的

3.2 Transport locations (TLOCs)

  • 將連接位置路由到物理網絡
  • 宣告給vSmart控制器
  • 最突出的屬性:
Site-ID  # 站點IP
Encap-SPI  # 封裝
Encap-Authentication  #  封裝認證方式
Encap-Encryption  # 封裝加密方式
Public IP  # 公網IP
Public Port  #公網端口
Private IP  # 私網IP
Private Port # 私網端口
BFD-Status #
Tag  #
Weight  #  權重

  • 5個vEdge,每個vEdge分別有兩個網絡MPLS和INET
  • 每個vEdge都需要和vSmart建立控制層面隧道,宣告給了vSmart; vSmart將TLOCs宣告給所有vEdge
  • 數據層面,所有vEdge之間建立IPsec隧道,成功后存在三種IPsec Tunnel:MPLS---MPLS;INET---INET;MPLS---INET(一般不存在)

  • vEdge連接兩個網絡,Internet(VM12)、MPSL(VM14);分別標記鏈路顏色gold和mpls;
  • vEdge的站點ID設置為100,sysytem-IP:172.1.100.6;與其他vEdge的IP是私網互通(前提OMP通告成功)
  • TLOC:通告的私網內網地址,顏色,鏈路封裝 ; 從vSmart查看去往vEdge有兩條TLOC;

  • 如果兩個vEdge分別存在兩條鏈路均是internet(如1條電信1條聯通),查看vEdge設備的應該存在4條tunnel;
  • 選項“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”,如果不選擇該項默認只要OMP成立建立所有tunnel; 如果選擇,不同顏色的TLOC不會建立tunnel(如上圖T2和T4,T2和T3不會建立tunnel);
  • 如果兩個vEdge分別存在兩條鏈路是internet和MPLS,查看vEdge設備的應該存在2條tunnel(intetnet和MPLS不互通);

  

  • 廣告網絡服務的路由,即通用防火牆,IDS,IPS
  • 公布給vSmart控制器
  • 最突出的屬性:
VPN-ID
Service-ID (FW, IDS, IDP or generic net-svc)
Originator System IP
TLOC
Label
Originator-id
Path-id

3.3 Network-Service routes

  • 宣告網絡服務的路由,即通過防火牆、IDS、IPS   ; (即是在某台vEdge內網存在一台防火牆,想實現所有路由經防火牆的inside進去,outside出來,做到流量清洗、過濾和檢查等)
  • 宣告給vSmart控制器
  • 最突出的屬性:
VPN-ID
Service-ID #FW, IDS, IDP or generic net-svc
Originator System IP
TLOC
Label
Originator-id
Path-id

3.4   選擇從多個vEdge設備獲知的OMP路由

  • 默認值:vSmart通告的4條路徑  (也可以更改)
  • 可以將備份路由發布到vEdge,以實現更快的融合

SD-WAN  OMP路由宣告:

1.下一跳的TLOC可達(TLOC IP要宣告到overlay network中)
2.路由源的優先級,首選起源於vedge-route,備選起源於vsmart-route
3.AD管理距離,選擇管理距離最小的OMP路由(OMP default 250)
4.路由優先級,選擇最高preference的vroute
5.TLOC優先級,選擇最高的TLOC preference(vedge IP)
6.origin(路由起源)(是vedge宣告service-side路由進入overlay網絡)
按照傳統路由方式順序選擇(直連->靜態->EBGP->O->O IA->O E1/E2->IBGP->unknown)
7.裁判1選擇最高的system-IP宣告的vroute (vedge router-id)8.裁判2選擇最高的 private TLOC IP宣告的vroute(默認public TLOC IP=private TLOC IP)

四、路由重分布(本地到OMP、OMP到本地)

4.1  服務(本地-----站點)路由到OMP,自動重分布,即是去往vSmart的路由

  • 路由自動重分布(用戶端service端可能是直連的,靜態的,OSPF區域間和OSPF區域內)
  • 但是,除了BGP和OSPF外部路由(因為有可能造成環路),需要特殊配置

 4.2  OMP到服務(站點----本地)路由,即是從vSmart回來的路由

  • 需要在每個路由器上本地手動配置
  • 避免路由過度傳播到本地協議

4.2.1 OSFP路由重分布

  • 如果采用ospf外部路由, 通告時采用DN比特位,用於防止環路;

4.2.2 BGP路由重分布

  •  AS-Path 不可傳遞起源擴展社區站點設置用於環路檢測So0-0:site-id

 

 

 

 

 

 

五 、簡單的show命令

show omp peers  顯示活動的 OMP 鄰居
show ip route   顯示本地路由表中的條目
show omp routes  顯示所有OMP路由信息
show omp tlocs   顯示宣告的TLOC路由
show omp summary  顯示OMP會話的信息

 

.......


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 自學思科SD-WAN控制層面 自學思科SD-WAN數據層面 自學思科SD-WAN架構概念和基本術語介紹 自學思科SD-WAN理論知識(共13篇) 自學思科SD-WAN設備集、產品線 自學思科SD-WAN策略框架-本地策略(控制策略+數據策略) 自學思科SD-WAN Zero Touch Provisioning(ZTP)零接觸配置 自學思科SD-WAN策略框架-集中式控制策略 自學思科SD-WAN Application Aware Routing(AAR)應用感知路由 自學思科SD-WAN Zone Based Firewall(ZBF)區域防火牆
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM