04思科SD-WAN OMP协议原理详解（Overlay Management Protocol）

小乔

思科SD-WAN OMP协议原理详解（Overlay Management Protocol）

目录：

• 章节1：什么是 overlay 路由?
• 章节2：Overlay Management Protocol
• 章节3：在OMP中发布的路由类型（OMP 路由、TLOC 路由、Network-service 路由）
• 章节4：路由重分布（本地到OMP、OMP到本地）
• 章节5：简单的show命令
  

一、什么是 overlay路由？

OMP 在以下情况扮演了重要角色：

• 编排：站点之间的路由和安全连接；服务链接；VPN拓扑
• 路由分布
• 数据平面安全性参数的分布
• 路由策略的分配
  

二、Overlay Management Protocol

• 基于TCP的可扩展控制平面协议
• 在vEdge路由器和vSmart控制器之间以及vSmart控制器之间运行：内部永久TLS / DTLS连接 ；开机自动启用
• vSmarts创建OMP对等方的完整网格
• vEdge路由器不需要与所有vSmart建立peer（如上图三台vSmart，vEdge默认只与其中两台vSmart控制层面链接，另一台就是备份）
  

三、在OMP中发布的路由类型（OMP 路由、TLOC 路由、Network-service 路由）

三种主要路由：

• OMP routes (常叫做 vRoutes)—在使用OMP协调的传输网络的端点之间建立可达性的前缀。 OMP路由可以代表中央数据中心中的服务，分支机构中的服务，或覆盖网络中任何位置的主机和其他端点的集合。 OMP路由需要并解析为功能转发的TLOC。 与BGP相比，OMP路由等效于任何BGP AFI / SAFI字段中携带的前缀。
• Transport locations (TLOCs)—将OMP路由绑定到物理位置的标识符。 TLOC是OMP路由域中唯一对下层网络可见的实体，并且必须可以通过OC中的路由来访问它。基础网络。 TLOC可以通过物理网络路由表中的条目直接访问，或者必须由位于NAT设备外部的前缀表示，并且必须包含在路由表中。 在与BGP相比，TLOC充当OMP路由的下一跳。
• Service routes—将OMP路由与网络中的服务相关联的标识符，指定服务在网络中的位置。 服务包括防火墙，入侵检测系统（IDP）和负载平衡器。 服务路由信息同时包含在服务路由和OMP路由中。
  

3.1 OMP routes (常叫做 vRoutes)

• 从本地服务端学到的路由（如上图三条路由动态、静态、直连，也统称服务策略ServiceSide）
• 宣告给vSmart控制器（通过控制层面） ，vSmart通过OMP协议宣告给其他的vEdge
• 最突出的属性：[size=1em]

  1 2 3 4 5 6 7 8 9 10

  TLOC #vRoute的下一跳的传输位置标识符。 它类似于BGP NEXT_HOP属性。 （系统IP地址，颜色，封装类型） Site-ID #站点ID Tag  #路由的tag Preference  #  #OMP路由的优先级。 较高的优先级值是更优选的。 Originator System IP  #路由始发者的OMP标识符，即从中获知路由的IP地址（对端的管理IP地址）。 Origin Protocol  #原始路由协议（如动态、静态、直连），以及与原始路由关联的度量。 Origin Metric #原始路由 AS PATH  #  路径 Label   #  标签 VPN ID  # 内网分成VPN的ID

  
  
  
  
  

上图例子：三台vEdge设备S1 WAN IP /TLOC：1.1.7.11(上联Transport端口)  S2：1.1.17.16  S3：1.1.12.13，它们有共同站点内网VPN1（如果若新增VPN1、VPN2，相互之间默认无法互通）

[size=1em]

1 2 3 4 5

第一步：OMP协议从S1设备学习到OSPF路由 第二步：vSmart通过控制层面隧道学习到OSPF路由 第三步：vSmart自身应用路由策略 第四步：vSmart向其他站点反射路由信息（就从S1学习到的OSPF路由反射给S1和S3） 第五步：其他站点将路由信息重分布给自己内网站点的路由协议

[size=1em]

1 2 3 4 5 6 7 8 9 10 11

c---chosen：表示路由选择（可以理解为最佳路由） I---Installed：已加载路由，放置至路由表中 Red----redistributed：重分布 Rej---rejected：拒绝 L---looped：环路 R---resolved：解析成功 S---stale： Ext---estrange： Inv---invalid：非法的 Stg---staged： U---TLOC unresolved： 解析不成功的

3.2 Transport locations (TLOCs)

• 将连接位置路由到物理网络
• 宣告给vSmart控制器
• 最突出的属性：
  

[size=1em]

1 2 3 4 5 6 7 8 9 10 11

Site-ID  # 站点IP Encap-SPI  # 封装 Encap-Authentication  #  封装认证方式 Encap-Encryption  # 封装加密方式 Public IP  # 公网IP Public Port  #公网端口 Private IP  # 私网IP Private Port # 私网端口 BFD-Status # Tag  # Weight  #  权重

• 5个vEdge，每个vEdge分别有两个网络MPLS和INET
• 每个vEdge都需要和vSmart建立控制层面隧道，宣告给了vSmart； vSmart将TLOCs宣告给所有vEdge
• 数据层面，所有vEdge之间建立IPsec隧道，成功后存在三种IPsec Tunnel：MPLS---MPLS；INET---INET；MPLS---INET（一般不存在）
  

• vEdge连接两个网络，Internet(VM12)、MPSL(VM14)；分别标记链路颜色gold和mpls；
• vEdge的站点ID设置为100，sysytem-IP：172.1.100.6；与其他vEdge的IP是私网互通（前提OMP通告成功）
• TLOC：通告的私网内网地址，颜色，链路封装 ； 从vSmart查看去往vEdge有两条TLOC；
  

• 如果两个vEdge分别存在两条链路均是internet(如1条电信1条联通)，查看vEdge设备的应该存在4条tunnel；
• 选项“Color restrict will prevent attempt to establish IPSec tunnel to TLOCs with different color”，如果不选择该项默认只要OMP成立建立所有tunnel； 如果选择，不同颜色的TLOC不会建立tunnel（如上图T2和T4，T2和T3不会建立tunnel）；
• 如果两个vEdge分别存在两条链路是internet和MPLS，查看vEdge设备的应该存在2条tunnel（intetnet和MPLS不互通）；
  

  

• 广告网络服务的路由，即通用防火墙，IDS，IPS
• 公布给vSmart控制器
• 最突出的属性：
  

[size=1em]

1 2 3 4 5 6 7

VPN-ID Service-ID （FW, IDS, IDP or generic net-svc） Originator System IP TLOC Label Originator-id Path-id

3.3 Network-Service routes

• 宣告网络服务的路由，即通过防火墙、IDS、IPS   ； （即是在某台vEdge内网存在一台防火墙，想实现所有路由经防火墙的inside进去，outside出来，做到流量清洗、过滤和检查等）
• 宣告给vSmart控制器
• 最突出的属性：
  

[size=1em]

1 2 3 4 5 6 7

VPN-ID Service-ID #FW, IDS, IDP or generic net-svc Originator System IP TLOC Label Originator-id Path-id

3.4   选择从多个vEdge设备获知的OMP路由

• 默认值：vSmart通告的4条路径  （也可以更改）
• 可以将备份路由发布到vEdge，以实现更快的融合
  

SD-WAN  OMP路由宣告：

[size=1em]

1 2 3 4 5 6 7 8

1.下一跳的TLOC可达（TLOC IP要宣告到overlay network中） 2.路由源的优先级，首选起源于vedge-route，备选起源于vsmart-route 3.AD管理距离，选择管理距离最小的OMP路由（OMP default 250） 4.路由优先级，选择最高preference的vroute 5.TLOC优先级，选择最高的TLOC preference（vedge IP） 6.origin（路由起源）（是vedge宣告service-side路由进入overlay网络） 按照传统路由方式顺序选择（直连->静态->EBGP->O->O IA->O E1/E2->IBGP->unknown） 7.裁判1选择最高的system-IP宣告的vroute （vedge router-id）8.裁判2选择最高的 private TLOC IP宣告的vroute（默认public TLOC IP=private TLOC IP）

四、路由重分布（本地到OMP、OMP到本地）

4.1  服务（本地-----站点）路由到OMP，自动重分布，即是去往vSmart的路由

• 路由自动重分布（用户端service端可能是直连的，静态的，OSPF区域间和OSPF区域内）
• 但是，除了BGP和OSPF外部路由（因为有可能造成环路），需要特殊配置
  

4.2  OMP到服务（站点----本地）路由，即是从vSmart回来的路由

• 需要在每个路由器上本地手动配置
• 避免路由过度传播到本地协议
  

4.2.1 OSFP路由重分布

• 如果采用ospf外部路由， 通告时采用DN比特位，用于防止环路；
  

4.2.2 BGP路由重分布

• AS-Path 不可传递起源扩展社区站点设置用于环路检测So0-0：site-id
  

五 、简单的show命令[size=1em]

1 2 3 4 5

show omp peers  显示活动的 OMP 邻居 show ip route   显示本地路由表中的条目 show omp routes  显示所有OMP路由信息 show omp tlocs   显示宣告的TLOC路由 show omp summary  显示OMP会话的信息

.......

作者：CARLOS_CHIANG
出处：http://www.cnblogs.com/yaoyaojcy/




来源: 01思科SD-WAN架构概念和基本术语介绍
来源: 02思科SD-WAN控制层面连接的建立过程
来源: 03SD-WAN控制层面连接的建立过程

xz蓝精灵

666

f1662

mozhate

支持

rooteder

thanks

rooteder

thanks