思科SD-WAN基础知识

SD-WAN的架构
1、编排平面
Vbord作为协调器,协调管理控制。数据平面负责授权所有控制器连接(白名单模式)
2、管理平面
Vmanager统一图形化管理,实施。
3、控制平面
Vsmart整个方案的大脑,提供中心策略,负责实施策略、网络分段、流量工程等。与所有Vedge建立关系,每一个租户一个Vsmart
4、数据平面
Vedge可以是虚拟的,也可以是硬件路由器
Vsmart与Vedge之间运行OMP,edge之间没有控制平面,只有数据转发层面(Vsmart通常可以理解为BGP的RR),它收集所有站点的NLRI(前缀信息),默认情况下,edge会自动将本地业务侧路由表中的前缀信息公布到OMP

思科SD-WAN基础知识_第1张图片

VPN
1、默认情况下,不同站点之间相同的VPN路由可达性由OMP通告
2、每个VPN都有自己独立的转发表(类比VRF)
3,传输侧VPN0:系统定义的underlay网络,用于OMP编排管理等控制平面流量的连接,至少有一个接口配置隧道与Vmanager、Vbord,Vsmart(三巨头)通信
4 、VPN512 用作系统保留进行带外管理
5、服务侧:连接客户的接口,用户网络。VPN1-510用于用户自定义
6、VPN标签携带在数据报文中以及OMP路由中,作用类似VRF的RD

color
用于标识链路特性,都是预定义好的,在Vedge上标识接口
color分为private color和public color两大类
1、private color:城域网、MPLS和private1-6视为private color,用于没有NAT的位置,使用本来的接口建立IPSEC
2、public color :其它的都视为public color 如果有NAT 则尝试使用NAT后的地址建立IPSEC
3、如果private color需要NAT之后与另一个color通信,则可选使用NAT-T转换后的地址
4、private 会主动与private建立会话,public与public之间主动建立会话,private不会主动与public建立会话

TLOC
1、用于标识隧道端点的封装接口,基于system-ip,但也包含封装接口的IP地址和color(类似BGP的下一跳)
2、TLOC信息在Vsmart和Vedge之间传递,过程类比OSPF的DR和Dother(Vedge会把所有信息传递给Vsmart,由Vsmart统一分配,Vedge之间不交互信息)
3、默认情况下,每台Vedge都会与所有的TLOC建立full mesh的iIPSEC隧道

OMP

1、基于TCP的控制平面协议
2、运行在所有Vedge路由器和Vsmart控制器之间
3、内部使用了数据传输层安全协议
4、通告控制平面
5、OMP会话建立在VPN0中

OMP提供的服务
1、overlay网络通信的编排,包扣site之间的连接性,服务链和VPN拓扑
2、发服务级路由信息和相关位置映射
3、数据平面安全性参数和分发
4、路由策略的集中控制和分发

OMP通告的路由
TLOC Router:公网IP接口
OMP Router:私网路由(VPN服务侧)
Server Router: 服务路由(如防火墙)

TLOC路由通告以下属性
1、TLOC private address:与TLOC关联的接口的私有IP地址
2、TLOC public address:TLOC的NAT转换后的公网IP地址
3、carrier:承运者的类型,通常指私有还是公有
4、color:标识链路类型
5、encapsulation type:隧道封装类型
6、preference:优先级,用于区别发布相同OMP路由的TLOC
7、site ID:路由所属站点
8、tag:标识
9、weight:权重,如果可以通过两个或者多个TLOC到达OMP路由,则用于区分多个入口点的值

OMP Router
1、由Vedge产生通告本地的以下路由: 直连、静态、bgp、ospf(域间、域内、外部)
2、OMP路由携带以下属性
2.1、TLOC:路由的下一跳 (system-ip、color、encapsulation)
2.2、origin:路由的来源以及原始度量
2.3、originator:起源者,路由来源的IP地址
2.4、preference:优先级,用于控制选路,越高越优先
2.5、service:与OMP路由关联的网络服务
2.6、site ID:路由所属站点标识
2.7 、tag:标识
2.8、 VPN:OMP路由所属的VPN ID

Server Router
对于需要服务的流量,Vsmart控制器上的策略会更改到服务登陆点的OMP路由的下一跳,这样流量首先由服务处理,然后再路由到其最终目的地

OMP路由的重发布
1、OMP的管理距离为250
2、Vedge路由器通过OMP接收到的路由不会自动重发布到路由器上运行的其他路由协议中,如果需要重发布通过OMP接受的路由,则必须在每个Vedge路由器上本地重分发(简单理解就是OMP是单项重分布,需要OMP的路由就进行双向重分布)

OMP的选路原则
分为Vmaster和Vedge选路,没有特殊说明的就都适用
1、检查OMP路由是否有效(通过查看TLOC是否有效)
2、如果OMP路由有效,并且已从同一个viptela设备获知的路由,管理距离越小越优先
3、如果管理距离相等,比较OMP的路由优先级
4、仅在Vedge路由器上。如果OMP路由优先级相等,则选择具有较高的TLOC优先级的OMP路由
5、如果TLOC优先级相等,则比较起源类型,按以下顺序选择:
直连>静态>EBGP>OSPF域内>OSPF域间>OSPF外部>IBGP>未知
6、如果起源类型相同,选择具有较低起源度量的OMP路由
7、仅在Vedge路由器上,如果起源类型相同,选择router-id较大的OMP路由
8、如果route-id相等,Vedge路由器选择具有较高的私有IP地址的OMP路由
9、如果Vmaser控制器从两个不同的站点接收到相同的前缀,并且所有属性相等,Vmaser两个都会优选

解决核心网络出口的出口路由
1、如果是单核心或者简单的环境,通过路由协议下发默认路由,或者书写静态默认路由
2、将OMP路由重分布进IGP协议,但是要慎重(因为OMP路由类似BGP路由)

策略
集中控制策略
1、对路由和TLOC信息进行操作
2、自定义决策,用于确定数据在overlay网络中传输路径,流量工程、路径亲属关系、服务插入、VPN拓扑的关系
3、可用于配置应用程序防火墙、服务链、流量工程、QOS和CFlowd

应用感知路由
基于实时流量特征针对不同流量选路

本地控制策略
1、影响本地站点的路由策略,尤其是OSPF、BGP等
2、定义特定站点处理数据流量,列如ACL、QOS、镜像等
3、某些集中式策略会影响到Vedge的处理,列如应用程序路由或QOS分类,这种情况下配置仍将直接从Vsmart下载,需要传送到Vedge的策略是通过OMP来进行传递

策略规则
1、控制策略检查路由和TLOC属性并修改为策略匹配的属性,此为单项策略,站在Vsmart角度看IN/OUT
IN : 影响进入Vsmart的路由
OUT:影响传出Vsmart的路由
2、营运程序路由没有方向性,当流量从LAN到WAN的方向转发时,策略会通过OMP发送到Vedge路由器并应用到Vedge上
3、CFlowd和VPN策略也没有方向性,但是从Vedge的角度看,数据策略是定向的
注意:(唯一性)
1、只能将一种本地策略应用于Vedge设备
2、在Vsmart控制器上一次只能激活一个策略

LAN TO WAN
感知应用程序的路由使用深度包检查(DPI)在策略中匹配应用程序
建议在双Edge的环境中调整路由,使流量双向都通过一个Egde

WAN TO LAN
OMP会自动继承IGP的COST和BGP的MED或者设置IPSEC的隧道优先级

site ID
1、标识前缀位置 2、不必唯一 3、配置策略时需要
system ip
1、唯一标识OMP 2、点分十进制标识

你可能感兴趣的:(思科EI笔记)