ProHoster > بلوق > إدارة > هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

منذ أغسطس 2017 ، عندما استحوذت Cisco على Viptela ، كان العرض التكنولوجي الرئيسي للشبكات الموزعة للمؤسسات هو سيسكو SD-WAN. على مدى السنوات الثلاث الماضية ، مرت تقنية SD-WAN بالعديد من التغييرات ، النوعية والكمية. لذلك توسعت الوظيفة بشكل كبير وظهر الدعم على أجهزة التوجيه الكلاسيكية للسلسلة Cisco ISR 1000 و ISR 4000 و ASR 1000 و Virtual CSR 1000v. في الوقت نفسه ، لا يزال العديد من عملاء وشركاء Cisco يتساءلون - ما هو الفرق بين Cisco SD-WAN والنُهج المألوفة بالفعل القائمة على تقنيات مثل سيسكو DMVPN и توجيه أداء سيسكو وما مدى أهمية هذه الاختلافات؟

هنا يجب أن نحجز على الفور أنه قبل ظهور SD-WAN في محفظة Cisco ، شكلت DMVPN ، مع PfR ، جزءًا رئيسيًا في البنية Cisco IWAN (شبكة WAN الذكية)، والتي كانت بدورها سلف تقنية SD-WAN الكاملة. على الرغم من التشابه العام لكل من المهام نفسها وطرق حلها ، لم تتلق IWAN مستوى الأتمتة والمرونة وقابلية التوسع اللازمة لـ SD-WAN ، ومع مرور الوقت ، انخفض تطوير IWAN بشكل كبير. في الوقت نفسه ، لم تختف التقنيات التي تشكل IWAN ، ويستمر العديد من العملاء في استخدامها بنجاح ، بما في ذلك على المعدات الحديثة. نتيجة لذلك ، تطور وضع مثير للاهتمام - تسمح لك معدات Cisco نفسها باختيار تقنية إنشاء WAN الأنسب (الكلاسيكية ، DMVPN + PfR أو SD-WAN) وفقًا لمتطلبات العملاء وتوقعاتهم.

لا تهدف المقالة إلى تحليل تفصيلي لجميع ميزات تقنيات Cisco SD-WAN و DMVPN (مع توجيه الأداء أو بدونه) - هناك عدد كبير من المستندات والمواد المتاحة لهذا الغرض. المهمة الرئيسية هي محاولة تقييم الاختلافات الرئيسية بين هذه التقنيات. لكن مع ذلك ، قبل الانتقال إلى مناقشة هذه الاختلافات ، لنتذكر بإيجاز التقنيات نفسها.

ما هو Cisco DMVPN ولماذا هو مطلوب؟

تحل Cisco DMVPN مشكلة الاتصال الديناميكي (= القابل للتطوير) لشبكة فرع بعيد بشبكة المكتب المركزي للشركة باستخدام أنواع عشوائية من قنوات الاتصال ، بما في ذلك الإنترنت (= مع تشفير قناة الاتصال). من الناحية الفنية ، يتم تنفيذ ذلك عن طريق إنشاء شبكة تراكب افتراضية من فئة L3 VPN في وضع نقطة إلى عدة نقاط مع هيكل منطقي من نوع Star (Hub-n-Spoke). للقيام بذلك ، يستخدم DMVPN مجموعة من التقنيات التالية:

  • توجيه IP
  • أنفاق GRE متعددة النقاط (mGRE)
  • بروتوكول حل القفزة التالية (NHRP)
  • ملامح التشفير IPSec

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

ما هي المزايا الرئيسية لـ Cisco DMVPN مقارنة بالتوجيه الكلاسيكي باستخدام قنوات MPLS VPN؟

  • لإنشاء شبكة بين الفروع ، من الممكن استخدام أي قنوات اتصال - كل ما يمكن أن يوفر اتصال IP بين الفروع مناسب ، بينما سيتم تشفير حركة المرور (عند الضرورة) ومتوازنة (حيثما أمكن ذلك)
  • يتم تشكيل الهيكل المتصل بالكامل بين الفروع تلقائيًا. في نفس الوقت ، بين الفروع المركزية والبعيدة - الأنفاق الثابتة ، وبين الفروع البعيدة - الأنفاق الديناميكية عند الطلب (إذا كانت هناك حركة مرور)
  • تحتوي أجهزة التوجيه المركزية والبعيدة على تكوين موحد يصل إلى عناوين IP الخاصة بالواجهات. باستخدام mGRE ، ليست هناك حاجة لتكوين عشرات أو مئات أو حتى آلاف الأنفاق بشكل فردي. نتيجة لذلك ، قابلية التوسع اللائقة مع التصميم المناسب.

ما هو توجيه أداء Cisco ولماذا هو مطلوب؟

عند استخدام DMVPN على شبكة بين الفروع ، يظل أحد الأسئلة المهمة للغاية بدون حل - كيفية التقييم الديناميكي لحالة كل من أنفاق DMVPN للامتثال لمتطلبات حركة المرور التي تعتبر بالغة الأهمية لمؤسستنا ، ومرة ​​أخرى ، بناءً على هذا التقييم ، ديناميكيًا اتخاذ قرار بشأن إعادة التوجيه؟ الحقيقة هي أن DMVPN في هذا الجزء لا يختلف كثيرًا عن التوجيه الكلاسيكي - أفضل ما يمكنك فعله هو إعداد آليات QoS التي ستسمح لك بتحديد أولويات حركة المرور في الاتجاه الصادر ، ولكن لا يمكنك بأي حال من الأحوال مراعاة حالة المسار بأكمله في وقت أو آخر.

وماذا تفعل إذا تدهورت القناة جزئيًا وليس كليًا - كيف نكتشفها ونقيمها؟ DMVPN نفسها لا تعرف كيفية القيام بذلك. بالنظر إلى أن القنوات التي تربط الفروع يمكن أن تمر عبر مشغلي اتصالات مختلفين تمامًا ، باستخدام تقنيات مختلفة تمامًا ، تصبح هذه المهمة غير تافهة للغاية. وهنا تأتي تقنية توجيه أداء Cisco للإنقاذ ، والتي كانت في ذلك الوقت قد مرت بالفعل بعدة مراحل من التطوير.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

تتمثل مهمة توجيه أداء Cisco (المشار إليه فيما يلي باسم PfR) في قياس حالة المسارات (الأنفاق) لحركة المرور استنادًا إلى المقاييس الرئيسية المهمة لتطبيقات الشبكة - التأخير وتغير التأخير (الارتعاش) وخسارة الحزمة (النسبة المئوية). بالإضافة إلى ذلك ، يمكن قياس عرض النطاق الترددي المستخدم. تتم هذه القياسات في أقرب وقت ممكن (بقدر الإمكان والمبررة) وتسمح نتيجة هذه القياسات لجهاز التوجيه باستخدام PfR لاتخاذ قرارات ديناميكية بشأن الحاجة إلى تغيير توجيه نوع معين من حركة المرور.

وبالتالي ، يمكن وصف مهمة تركيبة DMVPN / PfR باختصار على النحو التالي:

  • اسمح للعميل باستخدام أي قنوات اتصال على شبكة WAN
  • ضمان أعلى جودة ممكنة للتطبيقات الهامة على هذه القنوات

ما هو Cisco SD-WAN؟

Cisco SD-WAN هي تقنية تستخدم نهج SDN لبناء وتشغيل WAN الخاص بالمؤسسة. على وجه الخصوص ، هذا يعني استخدام ما يسمى بوحدات التحكم (عناصر البرامج) ، والتي توفر تنسيقًا مركزيًا وتكوينًا آليًا لجميع مكونات الحل. على عكس SDN الأساسي (نمط Clean Slate) ، تستخدم Cisco SD-WAN عدة أنواع من وحدات التحكم في وقت واحد ، كل منها يؤدي دوره الخاص - يتم ذلك عن قصد من أجل توفير قابلية توسعة أفضل وتكرار جغرافي.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

في حالة SD-WAN ، تظل مهمة استخدام أي نوع من الروابط وتطبيقات الأعمال الداعمة قائمة ، ولكن في الوقت نفسه ، تتوسع متطلبات أتمتة هذه الشبكة وقياسها وأمانها ومرونتها.

مناقشة الاختلافات

إذا بدأنا الآن في تحليل الاختلافات بين هذه التقنيات ، فسوف تقع في إحدى الفئات:

  • الاختلافات المعمارية - كيف يتم توزيع الوظائف بين المكونات المختلفة للحل ، وكيف يتم تنظيم تفاعل هذه المكونات وكيف يؤثر ذلك على إمكانيات ومرونة التقنية؟
  • الوظيفة - ما الذي يمكن لتقنية أن تفعله ولا تستطيع تقنية أخرى أن تفعله؟ وهل هو حقا بهذه الأهمية؟

ما هي الاختلافات المعمارية وهل هي مهمة؟

في كل من التقنيات المحددة ، هناك العديد من "الأجزاء المتحركة" ، والتي تختلف ليس فقط في دورها ، ولكن أيضًا في مبادئ التفاعل مع بعضها البعض. مدى التفكير في هذه المبادئ ، والآليات العامة للحل تؤثر بشكل مباشر على قابلية التوسع والتسامح مع الخطأ والكفاءة العامة.

فكر في الجوانب المختلفة للهندسة بمزيد من التفصيل:

طائرة البيانات - جزء من الحل المسؤول عن نقل حركة مرور المستخدم بين المصدر والمتلقي. في DMVPN و SD-WAN ، يتم تنفيذه بشكل عام بنفس الطريقة على أجهزة التوجيه نفسها بناءً على أنفاق Multipoint GRE. يكمن الاختلاف في كيفية تكوين مجموعة المعلمات الضرورية لهذه الأنفاق:

  • в DMVPN / PfR عبارة عن تسلسل هرمي من مستويين حصريًا للعقد مع طوبولوجيا Star أو Hub-n-Spoke. يلزم تكوين ثابت للمحور وربط ثابت لـ Spoke بالمحور ، بالإضافة إلى التفاعل عبر بروتوكول NHRP لتشكيل اتصال مستوى البيانات. بالتالي، التغييرات على Hub أكثر صعوبة بشكل ملحوظالمرتبطة ، على سبيل المثال ، بتغيير / توصيل قنوات WAN جديدة أو تغيير معلمات القنوات الموجودة.
  • в SD-WAN هو نموذج ديناميكي بالكامل لاكتشاف معلمات الأنفاق المنشأة بناءً على مستوى التحكم (بروتوكول OMP) ومستوى التنسيق (التفاعل مع وحدة التحكم في BBond لاكتشاف وحدة التحكم ومهام اجتياز NAT). في الوقت نفسه ، يمكن أن تكون الطبولوجيا المتراكبة ، بما في ذلك الهياكل الهرمية. ضمن طوبولوجيا التراكب الثابتة للأنفاق ، من الممكن تكوين مرن للطوبولوجيا المنطقية في كل VPN فردي (VRF).

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

طائرة مراقبة - وظائف التبادل والتصفية وتعديل التوجيه والمعلومات الأخرى بين مكونات الحل.

  • в DMVPN / PfR - يتم تنفيذها فقط بين أجهزة التوجيه Hub و Spoke. التبادل المباشر لمعلومات التوجيه بين Spoke غير ممكن. بالتالي، بدون لوحة وصل عاملة ، لا يمكن أن يعمل مستوى التحكم ومستوى البيانات، مما يفرض متطلبات توفر عالية إضافية على Hub لا يمكن تلبيتها دائمًا.
  • в SD-WAN - لا يتم تنفيذ مستوى التحكم بشكل مباشر بين أجهزة التوجيه - يعتمد التفاعل على بروتوكول OMP ويتم بالضرورة من خلال نوع متخصص منفصل من وحدة تحكم vSmart ، والتي توفر إمكانية الموازنة والتكرار الجغرافي والتحكم المركزي في حمل الإشارة . ميزة أخرى لبروتوكول OMP هي مقاومته الكبيرة للخسائر والاستقلال عن سرعة قناة الاتصال مع وحدات التحكم (ضمن حدود معقولة ، بالطبع). والذي يسمح لك بنفس القدر بوضع وحدات تحكم SD-WAN في السحب العامة أو الخاصة مع الوصول عبر الإنترنت.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

طائرة السياسة - جزء من الحل مسؤول عن تحديد وتوزيع وتطبيق سياسات التحكم في حركة المرور على شبكة موزعة.

  • دمفبن - مقصور بشكل فعال على سياسات جودة الخدمة (QoS) المكونة بشكل فردي على كل جهاز توجيه عبر CLI أو قوالب البنية الأساسية Prime.
  • DMVPN / PfR - يتم تشكيل سياسات PfR على جهاز توجيه وحدة التحكم الرئيسية المركزية (MC) عبر CLI ثم توزيعها تلقائيًا على وحدات MC الفرعية. في هذه الحالة ، يتم استخدام نفس مسارات نقل السياسة المستخدمة في مستوى البيانات. لا توجد طريقة لفصل تبادل السياسات ومعلومات التوجيه وبيانات المستخدم. يتطلب نشر السياسة اتصال IP بين Hub و Spoke. في هذه الحالة ، يمكن دمج وظيفة MC مع جهاز توجيه DMVPN إذا لزم الأمر. من الممكن (ولكن ليس مطلوبًا) استخدام قوالب Prime Infrastructure لتوليد سياسة مركزية. ميزة مهمة هي أن السياسة يتم تشكيلها عالميًا على الشبكة بالكامل بنفس الطريقة - لا يتم دعم السياسات الفردية للقطاعات الفردية.
  • SD-WAN - يتم تحديد سياسات إدارة حركة المرور وجودة الخدمة مركزيًا من خلال الواجهة الرسومية لـ Cisco vManage ، والتي تتوفر أيضًا عبر الإنترنت (إذا لزم الأمر). يتم توزيعها عبر قنوات الإشارة بشكل مباشر أو غير مباشر من خلال وحدات تحكم vSmart (حسب نوع السياسة). لا تعتمد على اتصال مستوى البيانات بين أجهزة التوجيه ، لأن استخدم جميع مسارات حركة المرور المتاحة بين جهاز التحكم وجهاز التوجيه.

    بالنسبة لقطاعات الشبكة المختلفة ، من الممكن تشكيل مرن للسياسات المختلفة - يتم تحديد نطاق السياسة من خلال مجموعة المعرفات الفريدة المتوفرة في الحل - رقم الفرع ، ونوع التطبيق ، واتجاه حركة المرور ، وما إلى ذلك.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

طائرة تزامن - الآليات التي تسمح للمكونات باكتشاف بعضها البعض ديناميكيًا ، وتكوين التفاعل اللاحق وتنسيقه.

  • в DMVPN / PfR يعتمد الاكتشاف المتبادل بواسطة أجهزة التوجيه على التكوين الثابت لأجهزة Hub والتكوين المقابل لأجهزة Spoke. يحدث الاكتشاف الديناميكي فقط لـ Spoke ، الذي ينقل معلمات الاتصال الخاصة به إلى جهاز Hub ، والذي يتم تكوينه مسبقًا بواسطة Spoke. بدون اتصال IP لـ Spoke مع محور واحد على الأقل ، من المستحيل تكوين مستوى بيانات أو مستوى تحكم.
  • в SD-WAN يتم تنظيم مكونات الحل باستخدام وحدة تحكم BBond ، والتي يجب أن يقوم بها كل مكون (أجهزة التوجيه ووحدات تحكم vManage / vSmart) أولاً بإنشاء اتصال IP.

    في البداية ، لا تعرف المكونات معلمات اتصال بعضها البعض - ولهذا فهي بحاجة إلى منسق وسيط BBond. المبدأ العام هو كما يلي - في المرحلة الأولية ، يتعلم كل مكون (تلقائيًا أو ثابتًا) فقط حول معلمات الاتصال بـ BBond ، ثم يقوم برنامج BBond بإبلاغ جهاز التوجيه عن وحدات تحكم vManage و vSmart (التي تم اكتشافها سابقًا) ، مما يجعل من الممكن تلقائيًا قم بإنشاء جميع اتصالات الإشارات اللازمة.

    الخطوة التالية هي أن يتعرف جهاز التوجيه الجديد على بقية أجهزة التوجيه على الشبكة من خلال تبادل OMP مع وحدة تحكم vSmart. وبالتالي ، فإن جهاز التوجيه ، الذي لا يعرف في البداية أي شيء عن معلمات الشبكة على الإطلاق ، قادر على اكتشاف وحدات التحكم والاتصال بها تلقائيًا بشكل كامل ومن ثم اكتشاف الاتصال تلقائيًا وتشكيله مع أجهزة التوجيه الأخرى. في الوقت نفسه ، تكون معلمات الاتصال لجميع المكونات غير معروفة في البداية وقد تتغير أثناء التشغيل.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

مستوى الإدارة - جزء من الحل الذي يوفر إدارة ومراقبة مركزية.

  • DMVPN / PfR - لم يتم توفير حل مستوى إدارة متخصص. للأتمتة الأساسية والمراقبة ، يمكنك استخدام منتجات مثل Cisco Prime Infrastructure. كل جهاز توجيه لديه القدرة على الإدارة من خلال سطر أوامر CLI. لا يتم توفير التكامل مع الأنظمة الخارجية عبر API.
  • SD-WAN - يتم تنفيذ جميع عمليات التفاعل والمراقبة المنتظمة بشكل مركزي من خلال الواجهة الرسومية لوحدة التحكم vManage. جميع ميزات الحل ، بدون استثناء ، متاحة للتكوين من خلال vManage ، وكذلك من خلال مكتبة REST API موثقة بالكامل.

    تنخفض جميع إعدادات شبكة SD-WAN في vManage إلى بنائين رئيسيين - تشكيل قوالب الجهاز (قالب الجهاز) وتشكيل سياسة تحدد منطق الشبكة ومعالجة حركة المرور. في الوقت نفسه ، يقوم vManage ، الذي يبث السياسة التي شكلها المسؤول ، بتحديد التغييرات تلقائيًا وعلى الأجهزة / وحدات التحكم الفردية التي يجب إجراؤها ، مما يزيد بشكل كبير من كفاءة الحل وقابليته للتوسع.

    من خلال واجهة vManage ، لا يتوفر فقط تكوين حل Cisco SD-WAN ، ولكن أيضًا المراقبة الكاملة لحالة جميع مكونات الحل حتى الحالة الحالية لمقاييس الأنفاق الفردية والإحصاءات المتعلقة باستخدام مختلف التطبيقات القائمة على تحليل DPI.

    على الرغم من مركزية التفاعل ، فإن جميع المكونات (أجهزة التحكم وأجهزة التوجيه) لديها أيضًا سطر أوامر CLI يعمل بكامل طاقته ، وهو أمر ضروري أثناء مرحلة التنفيذ أو في حالة الطوارئ للتشخيصات المحلية. في الوضع العادي (إذا كانت هناك قناة إشارة بين المكونات) على أجهزة التوجيه ، يكون سطر الأوامر متاحًا فقط للتشخيص ولا يتوفر لإجراء تغييرات محلية ، مما يضمن الأمان المحلي والمصدر الوحيد للتغييرات في مثل هذه الشبكة - vManage .

الأمان المتكامل - هنا يجب أن نتحدث ليس فقط عن حماية بيانات المستخدم أثناء الإرسال عبر القنوات المفتوحة ، ولكن أيضًا عن الأمان الشامل لشبكة WAN استنادًا إلى التقنية المحددة.

  • в DMVPN / PfR من الممكن تشفير بيانات المستخدم وبروتوكولات التشوير. عند استخدام طرز معينة من أجهزة التوجيه ، تتوفر وظائف جدار الحماية مع فحص حركة المرور بالإضافة إلى IPS / IDS. من الممكن تقسيم شبكات الفروع باستخدام VRF. من الممكن مصادقة بروتوكولات التحكم (عامل واحد).

    في هذه الحالة ، بشكل افتراضي ، يعتبر جهاز التوجيه البعيد عنصرًا موثوقًا به في الشبكة - أي لا يتم افتراض حالات الاختراق المادي للأجهزة الفردية وإمكانية الوصول غير المصرح به إليها ولا يتم أخذها في الاعتبار ، ولا توجد مصادقة ثنائية لمكونات الحل ، والتي في حالة وجود شبكة موزعة جغرافيًا قد تحمل مخاطر إضافية كبيرة.

  • в SD-WAN عن طريق القياس مع DMVPN ، من الممكن تشفير بيانات المستخدم ، ولكن مع وظائف أمان الشبكة الموسعة بشكل كبير وتجزئة L3 / VRF (الاتحاد الدولي للاتصالات ، IPS / IDS ، تصفية عناوين URL ، تصفية DNS ، AMP / TG ​​، SASE ، وكيل TLS / SSL ، إلخ. .). د.). في الوقت نفسه ، يتم تنفيذ تبادل مفاتيح التشفير بشكل أكثر كفاءة من خلال وحدات تحكم vSmart (وليس بشكل مباشر) ، عبر قنوات الإشارة المحددة مسبقًا المحمية بواسطة تشفير DTLS / TLS استنادًا إلى شهادات الأمان. وهذا بدوره يضمن أمان مثل هذا التبادل ويوفر قابلية تطوير أفضل للحل حتى عشرات الآلاف من الأجهزة في شبكة واحدة.

    جميع اتصالات الإشارات (من وحدة تحكم إلى وحدة تحكم ، ومن وحدة تحكم إلى جهاز توجيه) محمية أيضًا استنادًا إلى DTLS / TLS. الموجهات مزودة بشهادات سلامة أثناء الإنتاج مع إمكانية الاستبدال / التجديد. يتم تحقيق المصادقة الثنائية نتيجة للوفاء الإلزامي والمتزامن بشرطين لكي يعمل جهاز التوجيه / وحدة التحكم في شبكة SD-WAN:

    • شهادة أمان صالحة
    • التضمين الصريح والواعي من قبل المسؤول لكل مكون في القائمة "البيضاء" للأجهزة المسموح بها.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

الاختلافات الوظيفية بين SD-WAN و DMVPN / PfR

بالانتقال إلى مناقشة الاختلافات الوظيفية ، تجدر الإشارة إلى أن العديد منها هو استمرار للاختلافات المعمارية - ليس سراً أنه عند تشكيل بنية الحل ، يبدأ المطورون من الميزات التي يريدون الحصول عليها في النهاية. ضع في اعتبارك الاختلافات الأكثر أهمية بين التقنيتين.

AppQ (جودة التطبيق) - وظائف لضمان جودة نقل حركة تطبيق الأعمال

تهدف الميزات الرئيسية للتقنيات قيد الدراسة إلى تحسين تجربة المستخدم قدر الإمكان عند استخدام التطبيقات المهمة للأعمال في شبكة موزعة. هذا مهم بشكل خاص في الظروف التي لا يتم فيها التحكم في جزء من البنية التحتية بواسطة تكنولوجيا المعلومات أو حتى لا يضمن نقل البيانات بنجاح.

لا يوفر DMVPN مثل هذه الآليات من تلقاء نفسه. أفضل شيء يمكن القيام به في شبكة DMVPN الكلاسيكية هو تصنيف حركة المرور الصادرة حسب التطبيق وتحديد أولوياتها في اتجاه ارتباط WAN. يتم تحديد اختيار نفق DMVPN في هذه الحالة فقط من خلال توفره ونتيجة تشغيل بروتوكولات التوجيه. لا يأخذ هذا في الاعتبار الحالة من البداية إلى النهاية للمسار / النفق وتدهوره الجزئي المحتمل من حيث المقاييس الرئيسية المهمة لتطبيقات الشبكة - التأخير وتغير التأخير (الارتعاش) والخسارة (٪). في هذا الصدد ، فإن المقارنة المباشرة بين DMVPN الكلاسيكي و SD-WAN فيما يتعلق بحل مهام AppQ لا معنى له - لا يمكن لـ DMVPN حل هذه المشكلة. عند إضافة تقنية توجيه أداء Cisco (PfR) إلى هذا السياق ، يتغير الموقف وتصبح المقارنة مع Cisco SD-WAN أكثر ملاءمة.

قبل الانتقال إلى مناقشة الاختلافات ، ملخص موجز لكيفية تشابه التقنيات. إذن ، كلا التقنيتين:

  • لديك آلية تسمح لك بالتقييم الديناميكي لحالة كل نفق تم إنشاؤه في سياق مقاييس معينة - كحد أدنى ، التأخير ، تباين التأخير وفقدان الحزمة (٪)
  • استخدام مجموعة معينة من الأدوات لتشكيل وتوزيع وتطبيق قواعد (سياسات) التحكم في حركة المرور ، مع مراعاة نتيجة قياس حالة مقاييس النفق الرئيسية.
  • تصنيف حركة مرور التطبيق على مستويات L3-L4 (DSCP) لنموذج OSI أو بواسطة توقيعات تطبيق L7 استنادًا إلى آليات DPI المضمنة في جهاز التوجيه
  • تسمح للتطبيقات المهمة بتحديد قيم عتبة مقبولة للمقاييس ، وقواعد نقل حركة المرور الافتراضية ، وقواعد إعادة توجيه حركة المرور عند تجاوز قيم العتبة.
  • عند تغليف حركة المرور في GRE / IPSec ، فإنهم يستخدمون الآلية المنشأة في الصناعة لنقل علامات DSCP الداخلية إلى رأس حزمة GRE / IPSEC الخارجي ، مما يسمح لك بمزامنة سياسات QoS للمؤسسة ومشغل الاتصالات (إذا كان هناك طريقة مناسبة جيش تحرير السودان).

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

كيف تختلف آليات التقييم من طرف إلى طرف SD-WAN و DMVPN / PfR؟

DMVPN / PfR

  • يتم استخدام كل من مستشعرات البرامج النشطة وغير النشطة (المجسات) لتقييم مقاييس صحة النفق القياسية. نشط - بناءً على حركة المستخدم ، يحاكي الخامل مثل هذه الحركة (إذا كانت غائبة).
  • لا يوجد ضبط دقيق للموقتات وظروف الكشف عن التدهور - الخوارزمية ثابتة.
  • بالإضافة إلى ذلك ، يتوفر قياس عرض النطاق الترددي المستخدم في الاتجاه الصادر. هذا يضيف مرونة إضافية للتحكم في حركة المرور DMVPN / PfR.
  • في الوقت نفسه ، تعتمد بعض آليات PfR ، عند تجاوز المقاييس ، على إشارات التغذية الراجعة في شكل رسائل TCA (تنبيه عبور العتبة) الخاصة التي يجب أن تأتي من متلقي حركة المرور تجاه المصدر ، مما يعني بدوره أن حالة يجب أن تكون القنوات المقاسة كافية على الأقل لإرسال مثل هذه الرسائل TCA. وهو ما لا يمثل مشكلة في معظم الحالات ، ولكن من الواضح أنه لا يمكن ضمانه.

SD-WAN

  • لإجراء تقييم شامل لمقاييس حالة النفق القياسية ، يتم استخدام بروتوكول BFD في وضع الصدى. في هذه الحالة ، لا يلزم تقديم تعليقات خاصة في شكل TCA أو رسائل مماثلة - لوحظ عزل مجالات الخطأ. كما أنه لا يتطلب وجود حركة مرور المستخدم لتقييم حالة النفق.
  • من الممكن ضبط مؤقتات BFD للتحكم في سرعة التشغيل وحساسية الخوارزمية لتدهور قناة الاتصال من عدة ثوانٍ إلى دقائق.

    هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

  • في وقت كتابة هذا التقرير ، تم توفير جلسة BFD واحدة فقط في كل من الأنفاق. من المحتمل أن يؤدي هذا إلى تقليل الدقة عند تحليل حالة النفق. في الواقع ، يمكن أن يصبح هذا قيدًا فقط في حالة استخدام اتصال WAN استنادًا إلى MPLS L2 / L3 VPN مع QoS SLA المتفاوض عليه - إذا كانت علامة DSCP لحركة مرور BFD (بعد التغليف في IPSec / GRE) تطابق قائمة الانتظار ذات الأولوية العالية في شبكة الناقل ، يمكن أن يؤثر ذلك على دقة وسرعة اكتشاف التدهور لحركة المرور ذات الأولوية المنخفضة. في الوقت نفسه ، من الممكن تغيير علامة BFD الافتراضية لتقليل مخاطر مثل هذه المواقف. في الإصدارات المستقبلية من برنامج Cisco SD-WAN ، من المتوقع ضبط أفضل لـ BFD ، بالإضافة إلى القدرة على تشغيل جلسات BFD متعددة في نفس النفق بقيم DSCP الفردية (للتطبيقات المختلفة).
  • يسمح لك BFD أيضًا بتقدير الحجم الأقصى للحزمة التي يمكن إرسالها عبر نفق معين دون تجزئة. يسمح هذا لـ SD-WAN بضبط الإعدادات ديناميكيًا مثل MTU و TCP MSS Adjust لتحقيق أقصى استفادة من عرض النطاق الترددي المتاح على كل ارتباط.
  • في SD-WAN ، يتوفر أيضًا خيار مزامنة جودة الخدمة مع مشغلي الاتصالات ، ليس فقط بناءً على حقل L3 DSCP ، ولكن أيضًا استنادًا إلى قيم L2 CoS التي يمكن إنشاؤها تلقائيًا في شبكة الفروع بواسطة أجهزة متخصصة - على سبيل المثال ، هواتف IP

كيف تختلف القدرات وطرق تحديد وتطبيق سياسات AppQ؟

سياسات DMVPN / PfR:

  • يتم تحديدها على جهاز التوجيه (الموجهات) للفرع المركزي (CF) من خلال سطر أوامر CLI أو قوالب تكوين CLI. يتطلب إنشاء قوالب CLI الإعداد والمعرفة ببنية السياسة.

    هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

  • تعريف عالميًا دون إمكانية التعديل الفردي / التغيير لمتطلبات قطاعات الشبكة الفردية.
  • لا يتم توفير إنشاء سياسة تفاعلية في الواجهة الرسومية.
  • لا يتم توفير تتبع التغييرات والوراثة وإنشاء إصدارات متعددة من السياسات للتبديل السريع.
  • يتم توزيعها تلقائيًا على أجهزة التوجيه الخاصة بالفروع البعيدة. في هذه الحالة ، يتم استخدام نفس قنوات الاتصال لنقل بيانات المستخدم. إذا لم تكن هناك قناة اتصال بين الفرع المركزي والفرع البعيد ، فإن توزيع / تعديل السياسات غير ممكن.
  • يتم تطبيقها على كل جهاز توجيه ، وإذا لزم الأمر ، قم بتعديل نتيجة بروتوكولات التوجيه القياسية ، مع إعطاء أولوية أعلى.
  • بالنسبة للحالات التي تتعرض فيها جميع روابط WAN للفروع لخسارة كبيرة في حركة المرور ، لم يتم توفير آليات التعويض.

سياسات SD-WAN:

  • محدد في vManage GUI من خلال معالج القالب التفاعلي.
  • يدعم إنشاء سياسات متعددة ، والنسخ ، والوراثة ، والتبديل بين السياسات في الوقت الفعلي.
  • دعم إعدادات السياسة الفردية لمختلف قطاعات (فروع) الشبكة
  • إنها تنتشر باستخدام أي قناة إشارة متاحة بين جهاز التحكم والموجه و / أو vSmart - فهي لا تعتمد بشكل مباشر على اتصال مستوى البيانات بين أجهزة التوجيه. هذا بالطبع يتطلب اتصال IP بين جهاز التوجيه نفسه ووحدات التحكم.

    هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

  • بالنسبة للحالات التي تتعرض فيها جميع القنوات الفرعية المتاحة لخسارة كبيرة في البيانات تتجاوز الحدود المسموح بها للتطبيقات الحرجة ، فمن الممكن استخدام آليات إضافية تزيد من موثوقية الإرسال:
    • FEC (تصحيح الخطأ الأمامي) - يستخدم خوارزمية ترميز زائدة عن الحاجة. عند نقل حركة المرور الحرجة عبر القنوات بنسبة كبيرة من الخسائر ، يمكن تنشيط FEC تلقائيًا ويسمح لك باستعادة الجزء المفقود من البيانات إذا لزم الأمر. يؤدي هذا إلى زيادة طفيفة في عرض النطاق الترددي القابل للاستخدام ، ولكنه يحسن الموثوقية بشكل كبير.

      هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

    • ازدواجية تدفقات البيانات - بالإضافة إلى FEC ، قد تنص السياسة على التكرار التلقائي لحركة التطبيق المختارة في حالة حدوث مستوى أعلى من الخسارة لا يمكن لـ FEC تعويضها. في هذه الحالة ، سيتم إرسال البيانات المحددة عبر جميع الأنفاق باتجاه الفرع المستلم مع إلغاء الازدواج اللاحق (تجاهل نسخ الحزم الإضافية). تزيد الآلية بشكل ملحوظ من استخدام القنوات ، ولكنها أيضًا تزيد بشكل كبير من موثوقية الإرسال.

قدرات Cisco SD-WAN ، لا توجد نظائر مباشرة في DMVPN / PfR

تسمح لك بنية حل Cisco SD-WAN في بعض الحالات بالحصول على ميزات يصعب تنفيذها داخل DMVPN / PfR ، أو غير عملية بسبب تكاليف العمالة الضرورية ، أو حتى مستحيلة. فكر في أكثرها إثارة للاهتمام:

هندسة المرور (TE)

يتضمن TE آليات تسمح لحركة المرور بالتفرع عن المسار القياسي الذي تشكله بروتوكولات التوجيه. غالبًا ما يتم استخدام TE لتوفير توافر عالي لخدمات الشبكة من خلال القدرة على نقل حركة المرور المهمة بسرعة و / أو بشكل استباقي إلى مسار إرسال بديل (غير متداخل) من أجل توفير جودة أفضل للخدمة أو سرعة الاسترداد في حالة حدوث الفشل على الطريق الرئيسي.

يكمن تعقيد تنفيذ TE في الحاجة إلى حساب والاحتفاظ (التحقق) من مسار بديل مقدمًا. في شبكات MPLS لمشغلي الاتصالات ، يتم حل هذه المشكلة باستخدام تقنيات مثل MPLS Traffic-Engineering مع امتدادات بروتوكولات IGP وبروتوكول RSVP. في الآونة الأخيرة أيضًا ، تكتسب تقنية Segment Routing ، التي تم تحسينها بشكل أكبر للتكوين المركزي والتزامن ، المزيد والمزيد من الشعبية. في شبكات WAN الكلاسيكية ، لا يتم عادةً تمثيل هذه التقنيات أو تقليلها لاستخدام آليات الانتقال السريع مثل التوجيه المستند إلى السياسة (PBR) ، والتي تكون قادرة على الاستفادة من حركة المرور ، ولكنها تنفذ ذلك على كل جهاز توجيه على حدة - بغض النظر عن الحالة العامة للشبكة أو نتيجة PBR في الخطوات السابقة أو اللاحقة. نتيجة استخدام خيارات TE هذه مخيبة للآمال - عادةً ما يتم استخدام MPLS TE ، نظرًا لتعقيد التكوين والتشغيل ، فقط في الجزء الأكثر أهمية من الشبكة (الأساسية) ، ويتم استخدام PBR على أجهزة التوجيه الفردية بدون القدرة لتشكيل نوع من سياسة PBR الموحدة عبر الشبكة. من الواضح أن هذا ينطبق أيضًا على الشبكات القائمة على DMVPN.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

تقدم SD-WAN في هذا الصدد حلاً أكثر أناقة ليس فقط من السهل تكوينه ، ولكن أيضًا يتسع بشكل أفضل. هذا هو نتيجة مستوى التحكم وبنية مستوى السياسة المستخدمة. يتيح لك تنفيذ مستوى السياسة في SD-WAN تحديد سياسة TE مركزيًا - ما نوع حركة المرور التي تهمك؟ لأي VPN؟ ما هي العقد / الأنفاق التي من الضروري أو العكس بالعكس تشكيل طريق بديل؟ في المقابل ، تتيح لك مركزية إدارة مستوى التحكم استنادًا إلى وحدات تحكم vSmart تعديل نتائج التوجيه دون اللجوء إلى إعدادات الأجهزة الفردية - ترى أجهزة التوجيه بالفعل فقط نتيجة المنطق الذي تم إنشاؤه في واجهة vManage ونقله للاستخدام على vSmart.

تسلسل الخدمة (سلاسل الخدمة)

يعد تشكيل سلاسل الخدمة مهمة تستغرق وقتًا طويلاً في التوجيه الكلاسيكي أكثر من آلية هندسة المرور الموصوفة بالفعل. في الواقع ، في هذه الحالة ، من الضروري ليس فقط تشكيل مسار خاص معين لتطبيق شبكة معين ، ولكن أيضًا لتوفير القدرة على إخراج حركة المرور من الشبكة على بعض (أو كل) عقد شبكة SD-WAN للمعالجة من خلال تطبيق أو خدمة خاصة (الاتحاد الدولي للاتصالات ، الموازنة ، التخزين المؤقت ، حركة مرور الفحص ، إلخ). في الوقت نفسه ، من الضروري أن تكون قادرًا على التحكم في حالة هذه الخدمات الخارجية من أجل منع حالات الثقب الأسود ، ونحتاج أيضًا إلى آليات تسمح بوضع مثل هذه الخدمات الخارجية من نفس النوع في مواقع جغرافية مختلفة مع قدرة الشبكة على التحديد التلقائي لعقدة الخدمة المثلى لمعالجة حركة مرور فرع معين. في حالة Cisco SD-WAN ، من السهل جدًا تحقيق ذلك من خلال إنشاء سياسة مركزية مناسبة "تلصق" جميع جوانب سلسلة الخدمة المستهدفة في كل واحد وتغير تلقائيًا مستوى البيانات ومنطق مستوى التحكم فقط حيث وعند الضرورة.

هل ستقطع Cisco SD-WAN الفرع الذي يجلس عليه DMVPN؟

قد تكون القدرة على تشكيل معالجة موزعة جغرافيًا لحركة المرور لأنواع مختارة من التطبيقات في تسلسل معين على معدات متخصصة (ولكن لا تتعلق بشبكة SD-WAN نفسها) هي أوضح دليل على مزايا Cisco SD-WAN على الكلاسيكية التقنيات وحتى بعض حلول SD البديلة - WAN لمصنعين آخرين.

النتيجة؟

من الواضح أن كلا من DMVPN (مع أو بدون توجيه الأداء) و Cisco SD-WAN ينتهي الأمر بحل مشاكل مشابهة جدًا فيما يتعلق بشبكة WAN الموزعة لمؤسسة ما. في الوقت نفسه ، تبرز الاختلافات المعمارية والوظيفية الهامة في تقنية Cisco SD-WAN عملية حل هذه المشكلات. إلى مستوى جودة آخر. بإيجاز ، يمكن ملاحظة الاختلافات المهمة التالية بين تقنيات SD-WAN و DMVPN / PfR:

  • يستخدم DMVPN / PfR عمومًا تقنيات تم اختبارها بمرور الوقت لبناء شبكات VPN متراكبة وهي متشابهة من حيث مستوى البيانات لتقنية SD-WAN الأكثر حداثة ، في حين أن هناك عددًا من القيود في مواجهة التكوين الثابت الإلزامي لأجهزة التوجيه و يقتصر اختيار الهيكل على Hub-n-Spoke. من ناحية أخرى ، يحتوي DMVPN / PfR على بعض الوظائف التي لم تتوفر بعد في SD-WAN (نحن نتحدث عن BFD لكل تطبيق).
  • ضمن تقنيات طائرة التحكم تختلف اختلافا جوهريا. مع الأخذ في الاعتبار المعالجة المركزية لبروتوكولات التشوير ، يسمح SD-WAN ، على وجه الخصوص ، بتضييق مجالات الفشل بشكل كبير و "فصل" عملية نقل حركة مرور المستخدم من تفاعل الإشارة - لا يؤثر التوفر المؤقت لوحدات التحكم على إمكانية النقل حركة المستخدم. في الوقت نفسه ، لا يؤثر عدم التوفر المؤقت لأي فرع (بما في ذلك الفرع المركزي) على قدرة الفروع الأخرى على التفاعل مع بعضها البعض ومع وحدات التحكم.
  • تتفوق أيضًا بنية إنشاء وتطبيق سياسات التحكم في حركة المرور في حالة SD-WAN على ذلك في DMVPN / PfR - يتم تنفيذ الحجز الجغرافي بشكل أفضل بكثير ، ولا يوجد اتصال بالمحور ، والمزيد من الخيارات لضبط السياسات ، والقائمة من سيناريوهات التحكم في حركة المرور المنفذة أكبر بكثير أيضًا.
  • تختلف عملية تنسيق الحل أيضًا اختلافًا كبيرًا. يفترض DMVPN وجود المعلمات المعروفة سابقًا والتي يجب أن تنعكس بطريقة ما في التكوين ، مما يحد إلى حد ما من مرونة الحل وإمكانية حدوث تغييرات ديناميكية. في المقابل ، تنطلق SD-WAN من النموذج القائل بأنه في اللحظة الأولى من وقت الاتصال ، "لا يعرف جهاز التوجيه أي شيء" عن وحدات التحكم الخاصة به ، ولكنه يعرف "من يمكنك سؤاله" - وهذا يكفي ليس فقط لإنشاء اتصال تلقائيًا مع وحدات التحكم ، ولكن أيضًا للتكوين التلقائي لطوبولوجيا مستوى البيانات المتصلة بالكامل ، والتي يمكن تهيئتها / تغييرها بمرونة باستخدام السياسات.
  • فيما يتعلق بالإدارة المركزية والأتمتة والمراقبة ، من المتوقع أن يتفوق SD-WAN على DMVPN / PfR ، وهو نتيجة لتطوير التقنيات الكلاسيكية والاعتماد بشكل أكبر على سطر أوامر CLI واستخدام أنظمة NMS القائمة على القوالب.
  • في SD-WAN ، مقارنة بـ DMVPN ، وصلت متطلبات الأمان إلى مستوى جودة مختلف. المبادئ الرئيسية هي عدم الثقة ، وقابلية التوسع والمصادقة ذات العاملين.

من هذه الاستنتاجات البسيطة ، قد يحصل المرء على انطباع خاطئ بأن إنشاء شبكة قائمة على DMVPN / PfR قد فقد كل أهميتها اليوم. هذا بالطبع ليس صحيحًا تمامًا. على سبيل المثال ، في الحالات التي تستخدم فيها الشبكة الكثير من المعدات القديمة ولا توجد طريقة لاستبدالها ، يمكن لـ DMVPN أن تسمح لك بدمج الأجهزة "القديمة" و "الجديدة" في شبكة واحدة موزعة جغرافيًا مع العديد من المزايا الموضحة فوق.

من ناحية أخرى ، يجب أن نتذكر أن جميع أجهزة توجيه Cisco الحالية للشركات القائمة على IOS XE (ISR 1000 ، ISR 4000 ، ASR 1000 ، CSR 1000v) تدعم اليوم أي وضع تشغيل - كلا من التوجيه الكلاسيكي و DMVPN و SD-WAN - يتم تحديد الاختيار حسب الاحتياجات الحالية وفهم أنه في أي وقت على نفس الجهاز يمكنك البدء في التحرك نحو تكنولوجيا أكثر تقدمًا.

المصدر: www.habr.com

إضافة تعليق