SDWAN: OMP route TLOC – Color – Restrict – Carries

Home » Blog » SDN » SDWAN » SDWAN: OMP route TLOC – Color – Restrict – Carries

SDWAN: OMP route TLOC – Color – Restrict – Carries

16.02 2024 | by massimiliano

Le OMP-route possono annunciare prefix connesse, static-route e routing updates via redistribuzione da protocolli quali OSPF, BGP, altri ed insieme […]



Le OMP-route possono annunciare prefix connesse, static-route e routing updates via redistribuzione da protocolli quali OSPF, BGP, altri ed insieme a queste informazioni vengono annunciati determinati attributi:

TLOC: identifica un path di tipo WAN link (tunnel) e quindi il next-hop address di uno determinato Edge Router. Affinchè possa stabilirsi il tunnel tra due Edge Router in SDWAN, questi debbono trasportare alcune informazioni del tipo:

  • System IP Address: ad esempio un router-ID e deve essere univoco all’interno del dominio SD-WAN in quanto identifica l’Edge router che origina ed annuncia le prefix.
  • Site-ID: un Edge Router non deve mai creare in tunnel con un altro Edge Router colocato nello stesso site e pertanto è necessario il trasporto di questo attributo.E’ simile al concetto di BGP ASN (autonomous system number) e può essere utilizzato per policy orchestration e manipolazione di decisioni di routing; se all’interno di un site ci fossero multipli devices, questi debbono tutti mantenere lo stesso site-ID per loop-prevention.
  • Encapsulation Type = valore annunciato per identificare il tunnel da utilizzare in dataplane con possibili opzioni quali IPSec e GRE
  • Color = è una modalità per marcare una determinata connessione WAN in modo da poterla manipolare attraverso policies

Nota: In caso di nessun color configurato, il valore default viene associato ed annunciato

La comunicazione tra colori avviene per il protocollo STUN (Session Traversal Utilities – RFC 5389); in caso di nessun NAT, sia l’indirizzo pubblico che private risulta essere lo stesso.

show omp tlocs    # with NATed IP along the underlay path

————————————————————————

tloc entries for 10.150.1.11 blue, ipsec

————————————————————————

  Attributes:

  ……

  encaps-encrypt  aes256

  public-ip   91.101.7.11

  public-port  45679

  private-ip  192.168.1.1

  private-port  12346

  bfd status  up

Quando due WAN Edge Router cercano di stabilire un tunnel dataplane, controllano il TLOC colors alle estremità del path in ordine di decidere quale remote TLOC IP address/port utilizzare [se public (NAT) oppure private] 

OMP route TLOC Colour Restrict:

Di default un Edge Router forma un overlay tunnels con ciascun TLOC ricevuto dai differenti sites utilizzando ogni possibile colore disponibile (caso ad esempio utilizzato in ambienti con multiple connessioni Internet e multipli ISP provider per servizi any-to-any)

In caso però di servizi privati questo comportamento può non essere utilizzato in quanto è necessario garantire una connettività ent-to-end (mpls) con percorsi affidabili senza possibilità di traffici asimmetrici e/o sbagliati.

In questo caso la parola «restrict» sotto la configurazione TLOC stabilisce un Overlay Tunnel tra Edge Router solo ed esclusivamente se le loro interfacce wan sono marcate con lo stesso colore.

Di solito colori definiti private sono sempre marcati come restrict, mentre colori di tipo public sono generalmente unrestrict.

OMP route Tunnel Groups:

La modalità restrict può essere poco scalabile in reti di grandi dimensioni per il numero di colori privati e pubblici da gestire come pure la creazione di tunnel di tipo 1:1

Il Tunnel Group è una modalità flessibile di processare l’overlay tunnel tra Edge router assegnando un valore ID al tunnel ed una volta che un group-ID è configurato sotto il tunnel, le seguenti regole sono osservate:

Creazione di Overlay Tunnels tra Edge Router che abbiano solo un TLOC con lo stesso tunnel group-ID a prescindere dal colore impostato.

In caso di «restrict» configurato per il TLOC, allora è possibile la creazione di un Overlay Tunnels che abbiano lo stesso tunnel-group-id e lo stesso colore impostato.

OMP route TLOC Carries (cloud transport):

Oltre a stabilire un Overlay Tunnels come visto precedentemente (per colore o group-id), ogni Edge Router comunque ha necessità di sapere se il remote vEDGE ha un indirizzo IP pubblico o privato attraverso il quale crea il tunnel stesso in particolari use-case.

Di default un colore di tipo privato utilizza un indirizzo privato ma in particolari scenari è necessaria la tecnica di NAT per utilizzare un indirizzamento pubblico tra private colours. (public NATed).

Questo perché se un Edge router marcasse il suo TLOC con un colore privato «mpls» (e transitante per il carrier 1) ed il remote Edge router marcasse il suo TLOC con «private1» (e transitante per il carrier 2) il tunnel tra i due carriers NON si formerebbe, anche se la raggiungibilità dei loro indirizzi IP esistesse (viceversa in caso di marking del TLOC con public colours il tunnel in questo caso si stabilirebbe).

Bene, per alcuni particolare use-case, l’attributo «carrier» utilizza queste regole:

Se il parametro «carries» è lo stesso sia a livello dell’Edge router locale e remoto, allora i due nodi cercheranno di stabilire un tunnel attraverso il loro indirizzo TLOC privato (address/port)

Se il parametro «carrier» è differente, allora i due nodi cercheranno di stabilire un tunnel attraverso l’indirizzo TLOC public address del remote Edge router (NATed)

  • Origin: specifica l’origine di una route e come essa viene redistribuita in un processo di routing, indicandone con un identificativo una metrica per mezzo della quale viene calcolato il best-path e può essere utilizzato per influenzare politiche di traffico
  • Originator: specifica un indirizzo con valore di router-ID oppure il System IP address per il nodo che ha originato l’annuncio di routes.
  • Preference: attributo del tutto simile al Local-Preference del BGP ed è utilizzato per manipolare le politiche di traffico e pertanto il best-path; il valore più alto è sempre preferito ad un valore più basso.
  • Service: attributo che indica una «Service Insertion»; questa può essere riferita ad una route associata ad un firewall, un IPS oppure altro devices in grado di processare traffico di rete.
  • Tag: è un attributo transitivo opzionale e può essere applicato ad una route per mezzo di una policy.
  • VPN: valore che identifica in quale VPN/VRF (in SDWAN è lo stesso concetto) è stata annunciata una route; SDWAN supporta sino a 65536 VPN-ID e sono distribuiti nel seguente modo:
  • VPN 0 = predefinita VPN per il Transport VPN della soluzione SDWAN (WAN backbone con una separazione tra la parte underlay per il trasporto e la parte overlay per la parte di servizio).
  • VPN 512 = predefinita per il Management VPN ed è configurata in out-of-band.
  • VPN range 1 – 511 and 513 – 65527 = sono dedicate per VPN di servizio e quindi utilizzate per segmenti di rete Client or Users. Ogni VPN o segmento è una tabella separata in termini di control e data plane, dalle altre e le interfacce associate a queste VPN non sono mai collegate a circuiti WAN sia Internet che MPLS (queste sono in VPN 0).
  • VPN range 65528 – 65535 = sono VPN riservate ed utilizzate per processi interni alla soluzione SDWAN e non possono essere utilizzate per VPN users.

Le VPN sono trasportate attraverso la parte Overlay Fabric utilizzando una specifica LABEL encapsulata nell’header del pacchetto.

Torna in alto