OMP – Trái tim của Cisco Catalyst SD-WAN Fabric


Trong kiến trúc Cisco Catalyst SD-WAN, OMP (Overlay Management Protocol) chính là xương sống điều khiển. Đây là một giao thức control plane dựa trên TCP, mở rộng cao, thống nhất tất cả các chức năng control plane chỉ trong một giao thức duy nhất.

OMP luôn chạy bên trong kết nối TLS hoặc DTLS hai chiều, được chứng thực bằng certificate, giữa WAN Edge routers và SD-WAN Controllers, cũng như giữa các Controllers với nhau. Đặc điểm nổi bật của OMP

• Dựa trên TCP, dễ mở rộng.
• Chạy giữa WAN Edge ↔ Controllers, và giữa các Controllers.
• Xác thực thông qua TLS/DTLS.
• WAN Edge không cần thiết lập peer với tất cả Controllers.
• Quảng bá context control plane và policy.
• Giảm mạnh độ phức tạp control plane, tăng khả năng scale.

OMP sử dụng khái niệm address families và route attributes để trao đổi thông tin control plane cần thiết, nhằm thiết lập liên kết IPsec trực tiếp giữa các Edge router mà không cần IKE. Điều này giúp giảm phụ thuộc vào các giao thức định tuyến truyền thống như OSPF, EIGRP hay BGP chạy trên tunnel.

Chính nhờ vậy, OMP loại bỏ được vấn đề n² complexity của IPsec truyền thống (mỗi router phải kết nối control plane với tất cả router còn lại), thay vào đó chỉ cần kết nối với một số ít Controllers → mô hình linear control plane, scale dễ dàng.

---

Các khái niệm mạng trong OMP


Transport side (VPN 0):

• Luôn mang traffic control plane.
• Luôn được mã hóa/tunnel hóa (trừ khi bật split-tunneling).

Service side (VPN 1-65535, mặc định VPN 512 là quản lý):

• Kết nối vào mạng LAN người dùng.
• Traffic đi “as-is”, không bị encapsulate thêm.

Mọi router đều phải học đầy đủ prefix để có full-mesh communication. Thay vì full-mesh IGP/BGP truyền thống, Catalyst SD-WAN dùng mô hình route reflector, nơi tất cả prefix được gửi về Controllers, rồi reflect đến các Edge khác. Controllers chỉ xử lý control plane, không can thiệp data plane.

---

VPN trong SD-WAN

• VPN 0: Transport VPN, mang traffic control plane, qua TLS/DTLS.
• VPN 512: Management VPN, dùng cho OOB management.
• VPN khác (1–65535, trừ 0 và 512): Dùng để phân đoạn mạng người dùng (tương tự VRF). Có thể bật BGP, OSPF, EIGRP, QoS, shaping, policing...

---

Transport Locator (TLOC)


TLOC là khái niệm đặc trưng của SD-WAN, tương tự “next-hop” trong routing truyền thống, mô tả cách một Edge kết nối với WAN transport.

Một TLOC gồm:

• System-IP: ID cố định của router (tương tự Router-ID).
• Color: Loại transport (MPLS, LTE, biz-internet, metro-ethernet...).
• Encapsulation: Kiểu tunnel (IPsec hoặc GRE).
• Private/Public TLOC: Địa chỉ trước/sau NAT.

Mỗi Edge có thể có nhiều TLOC (ví dụ: MPLS + Internet).

---

Loại route trong OMP

1. OMP routes (vRoutes): Prefix học từ LAN (connected, static, OSPF, BGP...) → quảng bá qua overlay kèm TLOC.
2. TLOC routes: Quảng bá thông tin TLOC (system-IP, color, encapsulation, site-ID...).
3. Service routes: Quảng bá dịch vụ (firewall, IPS, optimizer...) để site khác có thể sử dụng qua service chaining.

---

Các ID quan trọng

• System-IP: Giống router-ID, luôn cố định, không phụ thuộc vào interface.
• Organization-Name: Case-sensitive, phải giống nhau trên toàn overlay (dùng trong chứng thực).
• Site-ID: Nhận diện site, các Edge cùng site có thể dùng chung Site-ID.

Ví dụ: Router có system-IP = 1.1.1.1, hai TLOC:

• TLOC1: color = metro-ethernet, encap = IPsec, WAN IP = 184.168.0.69
• TLOC2: color = biz-internet, encap = IPsec, WAN IP = 75.1.1.1

Cả hai TLOC đều ánh xạ vào cùng system-IP nhưng khác color và địa chỉ WAN → đảm bảo nhận diện duy nhất.

---

Kết luận


OMP là trái tim giúp Cisco Catalyst SD-WAN scale dễ dàng, thay thế cơ chế full-mesh IKE/IPsec bằng control plane tuyến tính. Nhờ OMP:

• Giảm độ phức tạp control plane.
• Hỗ trợ segmentation qua VPN.
• Linh hoạt kết nối đa transport qua TLOC.
• Phân phối routing/policy tập trung từ vManage.

Đây là nền tảng để Catalyst SD-WAN đạt hiệu quả trong cả môi trường enterprise lẫn service provider.
​