天天看點
傳回

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

​​點選傳回:思科SD-WAN實戰課​​

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

目錄:

  • 章節1:什麼是 overlay 路由?
  • 章節2:Overlay Management Protocol
  • 章節3:在OMP中釋出的路由類型(OMP 路由、TLOC 路由、Network-service 路由)
  • 章節4:路由重分布(本地到OMP、OMP到本地)
  • 章節5:簡單的show指令

一、什麼是 overlay路由?

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

OMP 在以下情況扮演了重要角色:

  • 編排:站點之間的路由和安全連接配接;服務連結;VPN拓撲
  • 路由分布
  • 資料平面安全性參數的分布
  • 路由政策的配置設定

二、Overlay Management Protocol 

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 基于TCP的可擴充控制平面協定
  • 在vEdge路由器和vSmart控制器之間以及vSmart控制器之間運作:内部永久TLS / DTLS連接配接 ;開機自動啟用
  • vSmarts建立OMP對等方的完整網格
  • vEdge路由器不需要與所有vSmart建立peer(如上圖三台vSmart,vEdge預設隻與其中兩台vSmart控制層面連結,另一台就是備份)

三、在OMP中釋出的路由類型(OMP 路由、TLOC 路由、Network-service 路由)

 三種主要路由:

  • OMP routes (常叫做 vRoutes)—在使用OMP協調的傳輸網絡的端點之間建立可達性的字首。 OMP路由可以代表中央資料中心中的服務,分支機構中的服務,或覆寫網絡中任何位置的主機和其他端點的集合。 OMP路由需要并解析為功能轉發的TLOC。 與BGP相比,OMP路由等效于任何BGP AFI / SAFI字段中攜帶的字首。
  • Transport locations (TLOCs)—将OMP路由綁定到實體位置的辨別符。 TLOC是OMP路由域中唯一對下層網絡可見的實體,并且必須可以通過OC中的路由來通路它。基礎網絡。 TLOC可以通過實體網絡路由表中的條目直接通路,或者必須由位于NAT裝置外部的字首表示,并且必須包含在路由表中。 在與BGP相比,TLOC充當OMP路由的下一跳。
  • Service routes—将OMP路由與網絡中的服務相關聯的辨別符,指定服務在網絡中的位置。 服務包括防火牆,入侵檢測系統(IDP)和負載平衡器。 服務路由資訊同時包含在服務路由和OMP路由中。

3.1 OMP routes (常叫做 vRoutes)

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 從本地服務端學到的路由(如上圖三條路由動态、靜态、直連,也統稱服務政策ServiceSide)
  • 宣告給vSmart控制器(通過控制層面) ,vSmart通過OMP協定宣告給其他的vEdge
  • 最突出的屬性: 
TLOC #vRoute的下一跳的傳輸位置辨別符。 它類似于BGP NEXT_HOP屬性。 (系統IP位址,顔色,封裝類型)
Site-ID #站點ID
Tag  #路由的tag
Preference  #  #OMP路由的優先級。 較高的優先級值是更優選的。
Originator System IP  #路由始發者的OMP辨別符,即從中獲知路由的IP位址(對端的管理IP位址)。
Origin Protocol  #原始路由協定(如動态、靜态、直連),以及與原始路由關聯的度量。
Origin Metric #原始路由
AS PATH  #  路徑
Label   #  标簽
VPN ID  # 内網分成VPN的ID
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

上圖例子:三台vEdge裝置S1 WAN IP /TLOC:1.1.7.11(上聯Transport端口)  S2:1.1.17.16  S3:1.1.12.13,它們有共同站點内網VPN1(如果若新增VPN1、VPN2,互相之間預設無法互通)

第一步:OMP協定從S1裝置學習到OSPF路由
第二步:vSmart通過控制層面隧道學習到OSPF路由
第三步:vSmart自身應用路由政策
第四步:vSmart向其他站點反射路由資訊(就從S1學習到的OSPF路由反射給S1和S3)
第五步:其他站點将路由資訊重分布給自己内網站點的路由協定
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
c---chosen:表示路由選擇(可以了解為最佳路由)
I---Installed:已加載路由,放置至路由表中
Red----redistributed:重分布
Rej---rejected:拒絕
L---looped:環路
R---resolved:解析成功
S---stale:
Ext---estrange:
Inv---invalid:非法的
Stg---staged:
U---TLOC unresolved: 解析不成功的
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

3.2 Transport locations (TLOCs)

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 将連接配接位置路由到實體網絡
  • 宣告給vSmart控制器
  • 最突出的屬性: 
Site-ID  # 站點IP
Encap-SPI  # 封裝
Encap-Authentication  #  封裝認證方式
Encap-Encryption  # 封裝加密方式
Public IP  # 公網IP
Public Port  #公網端口
Private IP  # 私網IP
Private Port # 私網端口
BFD-Status #
Tag  #
Weight  #  權重
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 5個vEdge,每個vEdge分别有兩個網絡MPLS和INET
  • 每個vEdge都需要和vSmart建立控制層面隧道,宣告給了vSmart; vSmart将TLOCs宣告給所有vEdge
  • 資料層面,所有vEdge之間建立IPsec隧道,成功後存在三種IPsec Tunnel:MPLS---MPLS;INET---INET;MPLS---INET(一般不存在)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • vEdge連接配接兩個網絡,Internet(VM12)、MPSL(VM14);分别标記鍊路顔色gold和mpls;
  • vEdge的站點ID設定為100,sysytem-IP:172.1.100.6;與其他vEdge的IP是私網互通(前提OMP通告成功)
  • TLOC:通告的私網内網位址,顔色,鍊路封裝 ; 從vSmart檢視去往vEdge有兩條TLOC;
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 如果兩個vEdge分别存在兩條鍊路均是internet(如1條電信1條聯通),檢視vEdge裝置的應該存在4條tunnel;
  • 選項“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”,如果不選擇該項預設隻要OMP成立建立所有tunnel; 如果選擇,不同顔色的TLOC不會建立tunnel(如上圖T2和T4,T2和T3不會建立tunnel);
  • 如果兩個vEdge分别存在兩條鍊路是internet和MPLS,檢視vEdge裝置的應該存在2條tunnel(intetnet和MPLS不互通);
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 廣告網絡服務的路由,即通用防火牆,IDS,IPS
  • 公布給vSmart控制器
  • 最突出的屬性: 
VPN-ID
Service-ID (FW, IDS, IDP or generic net-svc)
Originator System IP
TLOC
Label
Originator-id
Path-id

3.3 Network-Service routes

自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
  • 宣告網絡服務的路由,即通過防火牆、IDS、IPS   ; (即是在某台vEdge内網存在一台防火牆,想實作所有路由經防火牆的inside進去,outside出來,做到流量清洗、過濾和檢查等)
  • 宣告給vSmart控制器
  • 最突出的屬性: 
VPN-ID
Service-ID #FW, IDS, IDP or generic net-svc
Originator System IP
TLOC
Label
Originator-id
Path-id

3.4   選擇從多個vEdge裝置獲知的OMP路由

  • 預設值:vSmart通告的4條路徑  (也可以更改)
  • 可以将備份路由釋出到vEdge,以實作更快的融合

SD-WAN  OMP路由宣告:

1.下一跳的TLOC可達(TLOC IP要宣告到overlay network中)
2.路由源的優先級,首選起源于vedge-route,備選起源于vsmart-route
3.AD管理距離,選擇管理距離最小的OMP路由(OMP default 250)
4.路由優先級,選擇最高preference的vroute
5.TLOC優先級,選擇最高的TLOC preference(vedge IP)
6.origin(路由起源)(是vedge宣告service-side路由進入overlay網絡)
按照傳統路由方式順序選擇(直連->靜态->EBGP->O->O IA->O E1/E2->IBGP->unknown)
7.裁判1選擇最高的system-IP宣告的vroute (vedge router-id)8.裁判2選擇最高的 private TLOC IP宣告的vroute(預設public TLOC IP=private TLOC IP)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

四、路由重分布(本地到OMP、OMP到本地)

4.1  服務(本地-----站點)路由到OMP,自動重分布,即是去往vSmart的路由

  • 路由自動重分布(使用者端service端可能是直連的,靜态的,OSPF區域間和OSPF區域内)
  • 但是,除了BGP和OSPF外部路由(因為有可能造成環路),需要特殊配置
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

 4.2  OMP到服務(站點----本地)路由,即是從vSmart回來的路由

  • 需要在每個路由器上本地手動配置
  • 避免路由過度傳播到本地協定

4.2.1 OSFP路由重分布

  • 如果采用ospf外部路由, 通告時采用DN比特位,用于防止環路;
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

4.2.2 BGP路由重分布

  • AS-Path 不可傳遞起源擴充社群站點設定用于環路檢測So0-0:site-id
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)
自學思科SD-WAN OMP協定原理詳解(Overlay Management Protocol)

五 、簡單的show指令 

show omp peers  顯示活動的 OMP 鄰居
show ip route   顯示本地路由表中的條目
show omp routes  顯示所有OMP路由資訊
show omp tlocs   顯示宣告的TLOC路由
show omp summary  顯示OMP會話的資訊
内網 封裝 優先級
上一篇: Programming Exercise 8: Anomaly Detection and Recommender Systems Machine Learning
下一篇: 自學Zabbix2.3-伺服器端server安裝過程

繼續閱讀