ProHoster > Blog > İdarə > Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

2017-ci ilin avqustundan, Cisco Viptela-nı əldə etdikdən sonra, paylanmış müəssisə şəbəkələrinin təşkili üçün təklif olunan əsas texnologiya oldu. Cisco SD-WAN. Son 3 il ərzində SD-WAN texnologiyası həm keyfiyyət, həm də kəmiyyət baxımından bir çox dəyişikliklərdən keçmişdir. Beləliklə, funksionallıq əhəmiyyətli dərəcədə genişləndi və seriyanın klassik marşrutlaşdırıcılarında dəstək ortaya çıxdı Cisco ISR 1000, ISR 4000, ASR 1000 və Virtual CSR 1000v. Eyni zamanda, bir çox Cisco müştəriləri və tərəfdaşları maraqlanmağa davam edir: kimi texnologiyalara əsaslanan Cisco SD-WAN ilə artıq tanış olan yanaşmalar arasında hansı fərqlər var Cisco DMVPN и Cisco Performance Routing və bu fərqlər nə dərəcədə vacibdir?

Burada dərhal qeyd etməliyik ki, Cisco portfelində SD-WAN-ın meydana çıxmasından əvvəl DMVPN PfR ilə birlikdə arxitekturada əsas hissə təşkil edirdi. Cisco IWAN (Ağıllı WAN), bu da öz növbəsində tam hüquqlu SD-WAN texnologiyasının sələfi idi. Həm həll olunan vəzifələrin, həm də onların həlli üsullarının ümumi oxşarlığına baxmayaraq, IWAN heç vaxt SD-WAN üçün lazım olan avtomatlaşdırma, çeviklik və miqyaslanma səviyyəsini almadı və zaman keçdikcə IWAN-ın inkişafı əhəmiyyətli dərəcədə azaldı. Eyni zamanda, IWAN-ı təşkil edən texnologiyalar yoxa çıxmayıb və bir çox müştərilər onlardan, o cümlədən müasir avadanlıqlarda uğurla istifadə etməyə davam edirlər. Nəticədə maraqlı vəziyyət yaranıb – eyni Cisco avadanlığı müştərilərin tələb və gözləntilərinə uyğun olaraq ən uyğun WAN texnologiyasını (klassik, DMVPN+PfR və ya SD-WAN) seçməyə imkan verir.

Məqalədə Cisco SD-WAN və DMVPN texnologiyalarının (Performance Routing ilə və ya olmayan) bütün xüsusiyyətlərini ətraflı təhlil etmək niyyətində deyil - bunun üçün çoxlu sayda sənəd və materiallar var. Əsas vəzifə bu texnologiyalar arasındakı əsas fərqləri qiymətləndirməyə çalışmaqdır. Ancaq bu fərqləri müzakirə etməyə keçməzdən əvvəl texnologiyaları qısaca xatırlayaq.

Cisco DMVPN nədir və nə üçün lazımdır?

Cisco DMVPN ixtiyari tipli rabitə kanallarından, o cümlədən İnternetdən (= rabitə kanalının şifrələnməsi ilə) istifadə edərkən uzaq filial şəbəkəsinin müəssisənin mərkəzi ofisinin şəbəkəsinə dinamik (= miqyaslı) qoşulması problemini həll edir. Texniki cəhətdən bu, "Ulduz" tipli (Hub-n-Spoke) məntiqi topologiyası ilə nöqtədən çox nöqtəyə rejimində L3 VPN sinifinin virtuallaşdırılmış üst-üstə düşməsi şəbəkəsi yaratmaqla həyata keçirilir. Buna nail olmaq üçün DMVPN aşağıdakı texnologiyaların birləşməsindən istifadə edir:

  • IP marşrutlaşdırma
  • Çox nöqtəli GRE tunelləri (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Kripto profilləri

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

MPLS VPN kanallarından istifadə edən klassik marşrutlaşdırma ilə müqayisədə Cisco DMVPN-in əsas üstünlükləri hansılardır?

  • Filiallararası şəbəkə yaratmaq üçün istənilən rabitə kanallarından istifadə etmək mümkündür - filiallar arasında IP bağlantısını təmin edə bilən hər şey uyğundur, trafik isə şifrələnəcək (lazım olduqda) və balanslaşdırılmış (mümkün olduqda)
  • Filiallar arasında tam əlaqəli topologiya avtomatik olaraq formalaşır. Bu zaman mərkəzi və ucqar filiallar arasında statik tunellər, ucqar filiallar arasında isə tələb üzrə dinamik tunellər (trafik olduqda) mövcuddur.
  • Mərkəzi və uzaq filialın marşrutlaşdırıcıları interfeyslərin IP ünvanlarına qədər eyni konfiqurasiyaya malikdir. mGRE-dən istifadə etməklə onlarla, yüzlərlə və hətta minlərlə tunelləri fərdi şəkildə konfiqurasiya etməyə ehtiyac yoxdur. Nəticədə, düzgün dizaynla layiqli miqyaslılıq.

Cisco Performance Routing nədir və nə üçün lazımdır?

Filiallararası şəbəkədə DMVPN istifadə edərkən, son dərəcə vacib bir sual həll olunmamış qalır - təşkilatımız üçün vacib olan trafik tələblərinə uyğunluğu üçün DMVPN tunellərinin hər birinin vəziyyətini dinamik şəkildə necə qiymətləndirmək və yenə də belə bir qiymətləndirmə əsasında dinamik şəkildə marşrutun dəyişdirilməsi ilə bağlı qərar? Fakt budur ki, bu hissədə DMVPN klassik marşrutlaşdırmadan çox az fərqlənir - edilə bilən ən yaxşısı, gedən istiqamətdə trafikə üstünlük verməyə imkan verəcək, lakin heç bir şəkildə vəziyyəti nəzərə almağa qadir olmayan QoS mexanizmlərini konfiqurasiya etməkdir. bir anda bütün yol.

Kanal tamamilə yox, qismən pisləşərsə nə etməli - bunu necə aşkar etmək və qiymətləndirmək olar? DMVPN özü bunu edə bilməz. Nəzərə alsaq ki, filialları birləşdirən kanallar tamamilə fərqli telekommunikasiya operatorlarından, tamamilə fərqli texnologiyalardan istifadə etməklə keçə bilər, bu iş son dərəcə qeyri-trivial olur. Və bu zaman Cisco Performance Routing texnologiyasının köməyinə çatır ki, o vaxta qədər bir neçə inkişaf mərhələsindən keçmişdir.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

Cisco Performance Routing (bundan sonra PfR) vəzifəsi şəbəkə tətbiqləri üçün vacib olan əsas ölçülərə əsaslanaraq trafik yollarının (tunellərinin) vəziyyətini ölçməkdən ibarətdir - gecikmə, gecikmə dəyişkənliyi (jitter) və paket itkisi (faiz). Bundan əlavə, istifadə olunan bant genişliyi ölçülə bilər. Bu ölçmələr real vaxta mümkün qədər yaxın və əsaslı şəkildə baş verir və bu ölçmələrin nəticəsi PfR-dən istifadə edən marşrutlaşdırıcıya bu və ya digər növ trafikin marşrutunu dəyişmək zərurəti ilə bağlı dinamik qərarlar qəbul etməyə imkan verir.

Beləliklə, DMVPN/PfR birləşməsinin vəzifəsi qısaca aşağıdakı kimi təsvir edilə bilər:

  • Müştəriyə WAN şəbəkəsində istənilən rabitə kanallarından istifadə etməyə icazə verin
  • Bu kanallarda kritik tətbiqlərin mümkün olan ən yüksək keyfiyyətini təmin edin

Cisco SD-WAN nədir?

Cisco SD-WAN, təşkilatın WAN şəbəkəsini yaratmaq və idarə etmək üçün SDN yanaşmasından istifadə edən texnologiyadır. Bu, xüsusən də bütün həll komponentlərinin mərkəzləşdirilmiş orkestrləşdirilməsini və avtomatlaşdırılmış konfiqurasiyasını təmin edən sözdə nəzarətçilərin (proqram elementləri) istifadəsini nəzərdə tutur. Kanonik SDN-dən (Clean Slate stili) fərqli olaraq, Cisco SD-WAN hər biri öz rolunu yerinə yetirən bir neçə növ nəzarətçilərdən istifadə edir - bu, daha yaxşı miqyaslılıq və geo ehtiyatlılığı təmin etmək üçün qəsdən edilib.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

SD-WAN vəziyyətində, istənilən növ kanallardan istifadə və biznes proqramlarının işləməsini təmin etmək vəzifəsi eyni olaraq qalır, lakin eyni zamanda, belə bir şəbəkənin avtomatlaşdırılması, genişlənməsi, təhlükəsizliyi və çevikliyinə dair tələblər genişlənir.

Fərqlərin müzakirəsi

İndi bu texnologiyalar arasındakı fərqləri təhlil etməyə başlasaq, onlar aşağıdakı kateqoriyalardan birinə düşəcəklər:

  • Memarlıq fərqləri - funksiyalar həllin müxtəlif komponentləri arasında necə paylanır, bu cür komponentlərin qarşılıqlı əlaqəsi necə təşkil olunur və bu texnologiyanın imkanlarına və çevikliyinə necə təsir edir?
  • Funksionallıq – bir texnologiya digərinin edə bilmədiyi nəyi edə bilər? Və həqiqətən bu qədər vacibdirmi?

Memarlıq fərqləri nələrdir və onlar vacibdirmi?

Bu texnologiyaların hər birində təkcə rollarına görə deyil, həm də bir-biri ilə qarşılıqlı əlaqəsinə görə fərqlənən çoxlu “hərəkət edən hissələr” var. Bu prinsiplərin nə qədər yaxşı düşünülmüş olması və həllin ümumi mexanikası onun miqyaslılığını, nasazlığa dözümlülüyünü və ümumi səmərəliliyini birbaşa müəyyən edir.

Memarlığın müxtəlif aspektlərinə daha ətraflı baxaq:

Məlumat təyyarəsi – mənbə və alıcı arasında istifadəçi trafikinin ötürülməsinə cavabdeh olan həllin bir hissəsi. DMVPN və SD-WAN çox nöqtəli GRE tunelləri əsasında marşrutlaşdırıcıların özlərində ümumiyyətlə eyni şəkildə həyata keçirilir. Fərq bu tunellər üçün lazımi parametrlər dəstinin necə formalaşmasıdır:

  • в DMVPN/PfR Ulduz və ya Hub-n-Spoke topologiyası olan qovşaqların müstəsna olaraq iki səviyyəli iyerarxiyasıdır. Hub-ın statik konfiqurasiyası və Spoke-un Hub-a statik bağlanması, həmçinin məlumat müstəvisi bağlantısını yaratmaq üçün NHRP protokolu vasitəsilə qarşılıqlı əlaqə tələb olunur. Nəticədə, Hub-da dəyişiklikləri əhəmiyyətli dərəcədə çətinləşdirirməsələn, yeni WAN kanallarının dəyişdirilməsi/qoşulması və ya mövcud olanların parametrlərinin dəyişdirilməsi ilə əlaqədardır.
  • в SD WAN idarəetmə müstəvisi (OMP protokolu) və orkestr müstəvisi (kontrolörün aşkarlanması və NAT keçid tapşırıqları üçün vBond nəzarətçisi ilə qarşılıqlı əlaqə) əsasında quraşdırılmış tunellərin parametrlərinin aşkarlanması üçün tam dinamik modeldir. Bu halda, iyerarxik olanlar da daxil olmaqla, hər hansı üst-üstə qoyulmuş topologiyalardan istifadə edilə bilər. Müəyyən edilmiş üst-üstə düşən tunel topologiyası çərçivəsində hər bir fərdi VPN-də (VRF) məntiqi topologiyanın çevik konfiqurasiyası mümkündür.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

İdarəetmə təyyarəsi – həll komponentləri arasında marşrutlaşdırma və digər məlumatların mübadiləsi, filtrasiyası və dəyişdirilməsi funksiyaları.

  • в DMVPN/PfR – yalnız Hub və Spoke marşrutlaşdırıcıları arasında həyata keçirilir. Spokes arasında marşrut məlumatlarının birbaşa mübadiləsi mümkün deyil. Nəticədə, Fəaliyyət göstərən Hub olmadan idarəetmə təyyarəsi və məlumat müstəvisi işləyə bilməz, bu da Hub-a həmişə yerinə yetirilə bilməyən əlavə yüksək əlçatanlıq tələbləri qoyur.
  • в SD WAN - idarəetmə təyyarəsi heç vaxt marşrutlaşdırıcılar arasında birbaşa həyata keçirilmir - qarşılıqlı əlaqə OMP protokolu əsasında baş verir və mütləq balanslaşdırma, geo rezervasiya və mərkəzləşdirilmiş idarəetmə imkanlarını təmin edən ayrıca ixtisaslaşdırılmış vSmart nəzarətçi növü vasitəsilə həyata keçirilir. siqnal yükü. OMP protokolunun başqa bir xüsusiyyəti onun itkilərə qarşı əhəmiyyətli müqaviməti və nəzarətçilərlə əlaqə kanalının sürətindən müstəqilliyidir (əlbəttə ki, ağlabatan məhdudiyyətlər daxilində). Bu, SD-WAN nəzarətçilərini İnternet vasitəsilə ictimai və ya şəxsi buludlarda yerləşdirməyə eyni dərəcədə uğurla imkan verir.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

Siyasət müstəvisi – paylanmış şəbəkədə trafikin idarə edilməsi siyasətlərinin müəyyən edilməsi, yayılması və tətbiqi üçün cavabdeh olan həllin bir hissəsi.

  • DMVPN – CLI və ya Baş İnfrastruktur şablonları vasitəsilə hər bir marşrutlaşdırıcıda ayrıca konfiqurasiya edilmiş xidmət keyfiyyəti (QoS) siyasətləri ilə effektiv şəkildə məhdudlaşdırılır.
  • DMVPN/PfR – PfR siyasətləri CLI vasitəsilə mərkəzləşdirilmiş Master Controller (MC) marşrutlaşdırıcısında formalaşır və sonra avtomatik olaraq filial MC-lərə paylanır. Bu halda, məlumat müstəvisi ilə eyni siyasət ötürmə yolları istifadə olunur. Siyasətlərin, marşrutlaşdırma məlumatlarının və istifadəçi məlumatlarının mübadiləsini ayırmaq imkanı yoxdur. Siyasətlərin yayılması Hub və Spoke arasında IP bağlantısının olmasını tələb edir. Bu halda, MC funksiyası, lazım gələrsə, DMVPN marşrutlaşdırıcısı ilə birləşdirilə bilər. Mərkəzləşdirilmiş siyasətin yaradılması üçün Baş İnfrastruktur şablonlarından istifadə etmək mümkündür (lakin tələb olunmur). Əhəmiyyətli bir xüsusiyyət, siyasətin qlobal miqyasda bütün şəbəkədə eyni şəkildə formalaşmasıdır - Fərdi seqmentlər üçün fərdi siyasətlər dəstəklənmir.
  • SD WAN – trafikin idarə edilməsi və xidmət siyasətlərinin keyfiyyəti Cisco vManage qrafik interfeysi vasitəsilə mərkəzləşdirilmiş şəkildə müəyyən edilir və İnternet vasitəsilə də əldə edilə bilər (lazım olduqda). Onlar birbaşa və ya dolayı yolla vSmart nəzarətçiləri vasitəsilə (siyasət növündən asılı olaraq) siqnal kanalları vasitəsilə paylanır. Onlar marşrutlaşdırıcılar arasında məlumat müstəvisi əlaqəsindən asılı deyil, çünki nəzarətçi və marşrutlaşdırıcı arasında bütün mövcud trafik yollarından istifadə edin.

    Müxtəlif şəbəkə seqmentləri üçün müxtəlif siyasətləri çevik formalaşdırmaq mümkündür - siyasətin əhatə dairəsi həlldə təqdim olunan bir çox unikal identifikatorlar tərəfindən müəyyən edilir - filial nömrəsi, tətbiq növü, trafik istiqaməti və s.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

Orkestr təyyarəsi – komponentlərə bir-birini dinamik şəkildə aşkar etməyə, sonrakı qarşılıqlı əlaqəni konfiqurasiya etməyə və koordinasiya etməyə imkan verən mexanizmlər.

  • в DMVPN/PfR Routerlər arasında qarşılıqlı kəşf Hub cihazlarının statik konfiqurasiyasına və Spoke cihazlarının müvafiq konfiqurasiyasına əsaslanır. Dinamik kəşf yalnız Spoke üçün baş verir, o, Hub bağlantısı parametrlərini cihaza bildirir və bu da öz növbəsində Spoke ilə əvvəlcədən konfiqurasiya edilir. Spoke və ən azı bir Hub arasında IP bağlantısı olmadan nə məlumat müstəvisi, nə də idarəetmə müstəvisi yaratmaq mümkün deyil.
  • в SD WAN Həll komponentlərinin orkestrasiyası vBond nəzarətçisindən istifadə etməklə baş verir, onunla hər bir komponent (marşrutlaşdırıcılar və vManage/vSmart nəzarətçiləri) əvvəlcə IP bağlantısı yaratmalıdır.

    Əvvəlcə komponentlər bir-birlərinin əlaqə parametrləri haqqında bilmirlər - bunun üçün onlara vBond vasitəçi orkestratoru lazımdır. Ümumi prinsip belədir - ilkin mərhələdə hər bir komponent (avtomatik və ya statik olaraq) yalnız vBond-a qoşulma parametrləri haqqında öyrənir, sonra vBond marşrutlaşdırıcıya vManage və vSmart kontrollerləri (əvvəllər aşkar edilmiş) haqqında məlumat verir, bu da avtomatik qurmağa imkan verir. bütün lazımi siqnal bağlantıları.

    Növbəti addım yeni marşrutlaşdırıcının vSmart nəzarətçisi ilə OMP rabitəsi vasitəsilə şəbəkədəki digər marşrutlaşdırıcılar haqqında məlumat əldə etməsidir. Beləliklə, marşrutlaşdırıcı, ilkin olaraq şəbəkə parametrləri haqqında heç nə bilmədən, tam avtomatik olaraq nəzarətçiləri aşkarlaya və onlara qoşula bilir və sonra avtomatik olaraq digər marşrutlaşdırıcılarla əlaqə qura bilir. Bu halda, bütün komponentlərin əlaqə parametrləri ilkin olaraq bilinmir və əməliyyat zamanı dəyişə bilər.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

İdarəetmə təyyarəsi – mərkəzləşdirilmiş idarəetmə və monitorinqi təmin edən həllin bir hissəsi.

  • DMVPN/PfR – heç bir xüsusi idarəetmə planı həlli təmin edilmir. Əsas avtomatlaşdırma və monitorinq üçün Cisco Prime İnfrastructure kimi məhsullardan istifadə edilə bilər. Hər bir marşrutlaşdırıcı CLI əmr xətti ilə idarə oluna bilər. API vasitəsilə xarici sistemlərlə inteqrasiya təmin edilmir.
  • SD WAN – bütün müntəzəm qarşılıqlı əlaqə və monitorinq mərkəzləşdirilmiş şəkildə vManage nəzarətçisinin qrafik interfeysi vasitəsilə həyata keçirilir. Həllin bütün xüsusiyyətləri, istisnasız olaraq, vManage vasitəsilə, eləcə də tam sənədləşdirilmiş REST API kitabxanası vasitəsilə konfiqurasiya üçün əlçatandır.

    vManage-də bütün SD-WAN şəbəkə parametrləri iki əsas konstruksiyaya düşür - cihaz şablonlarının (Cihaz Şablonu) formalaşması və şəbəkə əməliyyatı və trafikin işlənməsi məntiqini müəyyən edən siyasətin formalaşdırılması. Eyni zamanda, administrator tərəfindən yaradılan siyasəti yayımlayan vManage avtomatik olaraq hansı dəyişikliklərin və hansı fərdi cihazların/nəzarətçilərin edilməsi lazım olduğunu seçir ki, bu da həllin səmərəliliyini və miqyasını əhəmiyyətli dərəcədə artırır.

    vManage interfeysi vasitəsilə təkcə Cisco SD-WAN həllinin konfiqurasiyası deyil, həm də fərdi tunellər üçün metriklərin cari vəziyyətinə və müxtəlif proqramların istifadəsi statistikasına qədər həllin bütün komponentlərinin vəziyyətinin tam monitorinqi mümkündür. DPI analizinə əsaslanır.

    Qarşılıqlı əlaqənin mərkəzləşdirilməsinə baxmayaraq, bütün komponentlər (nəzarətçilər və marşrutlaşdırıcılar) həm də icra mərhələsində və ya yerli diaqnostika üçün fövqəladə hallarda zəruri olan tam funksional CLI əmr xəttinə malikdir. Normal rejimdə (komponentlər arasında siqnal kanalı varsa) marşrutlaşdırıcılarda əmr xətti yalnız diaqnostika üçün əlçatandır və yerli dəyişikliklər etmək üçün mövcud deyil, bu da yerli təhlükəsizliyə zəmanət verir və belə şəbəkədə dəyişikliklərin yeganə mənbəyi vManage-dir.

İnteqrasiya edilmiş Təhlükəsizlik – burada təkcə açıq kanallar vasitəsilə ötürülən istifadəçi məlumatlarının mühafizəsi haqqında deyil, həm də seçilmiş texnologiya əsasında WAN şəbəkəsinin ümumi təhlükəsizliyi haqqında danışmalıyıq.

  • в DMVPN/PfR İstifadəçi məlumatlarını və siqnal protokollarını şifrələmək mümkündür. Müəyyən marşrutlaşdırıcı modellərindən istifadə edərkən, trafikin yoxlanılması ilə firewall funksiyaları, IPS/IDS əlavə olaraq mövcuddur. VRF-dən istifadə etməklə filial şəbəkələrini seqmentləşdirmək mümkündür. İdarəetmə protokollarının autentifikasiyası (bir faktorlu) mümkündür.

    Bu halda, uzaqdan idarə olunan marşrutlaşdırıcı standart olaraq şəbəkənin etibarlı elementi hesab olunur - yəni. fərdi cihazların fiziki kompromis halları və onlara icazəsiz daxil olma ehtimalı nəzərdə tutulmur və ya nəzərə alınmır; həll komponentlərinin iki faktorlu autentifikasiyası mövcud deyil, coğrafi cəhətdən paylanmış şəbəkə vəziyyətində əhəmiyyətli əlavə risklər daşıya bilər.

  • в SD WAN DMVPN ilə analoji olaraq, istifadəçi məlumatlarını şifrələmək imkanı təmin edilir, lakin əhəmiyyətli dərəcədə genişləndirilmiş şəbəkə təhlükəsizliyi və L3/VRF seqmentasiya funksiyaları (firewall, IPS/IDS, URL filtri, DNS filtri, AMP/TG, SASE, TLS/SSL proxy, s.) d.). Eyni zamanda, şifrələmə açarlarının mübadiləsi təhlükəsizlik sertifikatları əsasında DTLS/TLS şifrələməsi ilə qorunan əvvəlcədən yaradılmış siqnal kanalları vasitəsilə (birbaşa deyil) vSmart kontrollerləri vasitəsilə daha səmərəli həyata keçirilir. Bu da öz növbəsində bu cür mübadilələrin təhlükəsizliyinə zəmanət verir və eyni şəbəkədə on minlərlə cihaz üçün həllin daha yaxşı miqyaslanmasını təmin edir.

    Bütün siqnal əlaqələri (nəzarətçi-nəzarətçi, nəzarətçi-router) həmçinin DTLS/TLS əsasında qorunur. Routerlər istehsal zamanı dəyişdirilmə/uzadılma imkanı ilə təhlükəsizlik sertifikatları ilə təchiz edilmişdir. İki faktorlu autentifikasiya marşrutlaşdırıcının/nəzarətçinin SD-WAN şəbəkəsində işləməsi üçün iki şərtin məcburi və eyni vaxtda yerinə yetirilməsi ilə əldə edilir:

    • Etibarlı təhlükəsizlik sertifikatı
    • Hər bir komponentin administrator tərəfindən icazə verilən cihazların "ağ" siyahısına açıq və şüurlu şəkildə daxil edilməsi.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

SD-WAN və DMVPN/PfR arasındakı funksional fərqlər

Funksional fərqlərin müzakirəsinə keçərək qeyd etmək lazımdır ki, onların bir çoxu memarlıq olanların davamıdır - heç kimə sirr deyil ki, həllin arxitekturasını formalaşdırarkən tərtibatçılar sonda əldə etmək istədikləri imkanlardan başlayırlar. İki texnologiya arasındakı ən əhəmiyyətli fərqlərə baxaq.

AppQ (Application Quality) – biznes tətbiqi trafikinin ötürülməsi keyfiyyətini təmin edən funksiyalar

Baxılan texnologiyaların əsas funksiyaları paylanmış şəbəkədə biznes üçün kritik tətbiqlərdən istifadə edərkən istifadəçi təcrübəsini mümkün qədər təkmilləşdirməyə yönəlib. Bu, infrastrukturun bir hissəsinin İT tərəfindən idarə olunmadığı və ya hətta uğurlu məlumat ötürülməsinə zəmanət vermədiyi şəraitdə xüsusilə vacibdir.

DMVPN özü belə mexanizmləri təmin etmir. Klassik bir DMVPN şəbəkəsində edilə biləcək ən yaxşı şey, gedən trafiki tətbiqə görə təsnif etmək və WAN kanalına ötürüldükdə prioritetləşdirməkdir. DMVPN tunelinin seçimi bu halda yalnız onun mövcudluğu və marşrutlaşdırma protokollarının işinin nəticəsi ilə müəyyən edilir. Eyni zamanda, şəbəkə tətbiqləri üçün əhəmiyyətli olan əsas ölçülər - gecikmə, gecikmə dəyişkənliyi (citter) və itkilər (% ). Bu baxımdan, AppQ problemlərinin həlli baxımından klassik DMVPN-ni SD-WAN ilə birbaşa müqayisə etmək bütün mənasını itirir - DMVPN bu problemi həll edə bilməz. Bu kontekstdə Cisco Performance Routing (PfR) texnologiyasını əlavə etdikdə vəziyyət dəyişir və Cisco SD-WAN ilə müqayisə daha mənalı olur.

Fərqləri müzakirə etməzdən əvvəl texnologiyaların necə oxşar olduğuna qısaca nəzər salaq. Beləliklə, hər iki texnologiya:

  • müəyyən ölçülər baxımından - minimum, gecikmə, gecikmə dəyişkənliyi və paket itkisi (%) baxımından hər bir qurulmuş tunelin vəziyyətini dinamik olaraq qiymətləndirməyə imkan verən mexanizmə sahib olun.
  • əsas tunel ölçülərinin vəziyyətinin ölçülməsinin nəticələrini nəzərə almaqla yol hərəkətinin idarə edilməsi qaydalarını (siyasətlərini) formalaşdırmaq, yaymaq və tətbiq etmək üçün xüsusi alətlər toplusundan istifadə etmək.
  • proqram trafikini OSI modelinin L3-L4 (DSCP) səviyyələrində və ya marşrutlaşdırıcıda quraşdırılmış DPI mexanizmləri əsasında L7 tətbiq imzaları ilə təsnif edin
  • Əhəmiyyətli tətbiqlər üçün onlar ölçülərin məqbul həddi dəyərlərini, standart olaraq trafikin ötürülməsi qaydalarını və həddi aşdıqda trafikin istiqamətini dəyişdirmə qaydalarını təyin etməyə imkan verir.
  • GRE/IPSec-də trafiki əhatə edən zaman onlar daxili DSCP işarələrini xarici GRE/IPSEC paket başlığına köçürmək üçün artıq qurulmuş sənaye mexanizmindən istifadə edirlər ki, bu da təşkilatın və telekommunikasiya operatorunun QoS siyasətlərini sinxronlaşdırmağa imkan verir (əgər müvafiq SLA varsa) .

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

SD-WAN və DMVPN/PfR uç-to-end ölçüləri necə fərqlənir?

DMVPN/PfR

  • Həm aktiv, həm də passiv proqram sensorları (zondlar) standart tunel sağlamlıq göstəricilərini qiymətləndirmək üçün istifadə olunur. Aktiv olanlar istifadəçi trafikinə əsaslanır, passiv olanlar isə belə trafiki təqlid edir (olmadıqda).
  • Taymerlərin dəqiq tənzimlənməsi və deqradasiyanın aşkarlanması şərtləri yoxdur - alqoritm sabitdir.
  • Bundan əlavə, çıxış istiqamətində istifadə olunan bant genişliyinin ölçülməsi mövcuddur. Bu, DMVPN/PfR-ə əlavə trafik idarəçiliyi çevikliyi əlavə edir.
  • Eyni zamanda, bəzi PfR mexanizmləri, metriklər aşıldıqda, trafik alıcısından mənbəyə doğru gəlməli olan xüsusi TCA (threshold Crossing Alert) mesajları şəklində əks əlaqə siqnalına əsaslanır və bu da öz növbəsində hesab edir ki, ölçülmüş kanallar ən azı belə TCA mesajlarının ötürülməsi üçün kifayət olmalıdır. Hansı ki, əksər hallarda problem deyil, lakin açıq-aydın təmin edilə bilməz.

SD WAN

  • Standart tunel vəziyyəti ölçülərinin uçdan-uca qiymətləndirilməsi üçün BFD protokolu əks-səda rejimində istifadə olunur. Bu halda, TCA və ya oxşar mesajlar şəklində xüsusi rəy tələb olunmur - uğursuzluq domenlərinin izolyasiyası saxlanılır. O, həmçinin tunel vəziyyətini qiymətləndirmək üçün istifadəçi trafikinin olmasını tələb etmir.
  • Alqoritmin cavab sürətini və rabitə kanalının deqradasiyasına həssaslığını bir neçə saniyədən dəqiqələrə qədər tənzimləmək üçün BFD taymerlərini dəqiq tənzimləmək mümkündür.

    Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

  • Yazı zamanı hər tuneldə yalnız bir BFD seansı var. Bu, potensial olaraq tunel vəziyyətinin təhlilində daha az detallılıq yaradır. Reallıqda bu, yalnız razılaşdırılmış QoS SLA ilə MPLS L2/L3 VPN-ə əsaslanan WAN bağlantısından istifadə etdiyiniz halda məhdudiyyət ola bilər - əgər BFD trafikinin DSCP işarəsi (IPSec/GRE-də inkapsulyasiyadan sonra) yüksək prioritet növbəyə uyğun gəlirsə. telekommunikasiya operatorunun şəbəkəsi, o zaman bu, aşağı prioritetli trafik üçün deqradasiyanın aşkarlanmasının dəqiqliyinə və sürətinə təsir göstərə bilər. Eyni zamanda, belə vəziyyətlərin riskini azaltmaq üçün standart BFD etiketini dəyişdirmək mümkündür. Cisco SD-WAN proqramının gələcək versiyalarında daha dəqiq tənzimlənmiş BFD parametrləri, həmçinin fərdi DSCP dəyərləri (müxtəlif tətbiqlər üçün) ilə eyni tunel daxilində çoxsaylı BFD seanslarını işə salmaq imkanı gözlənilir.
  • BFD əlavə olaraq müəyyən tunel vasitəsilə parçalanmadan ötürülə bilən maksimum paket ölçüsünü qiymətləndirməyə imkan verir. Bu, SD-WAN-a MTU və TCP MSS Adjust kimi parametrləri dinamik şəkildə tənzimləməyə imkan verir ki, hər bir keçiddə mövcud bant genişliyindən maksimum yararlansın.
  • SD-WAN-da telekommunikasiya operatorlarından QoS sinxronizasiyası seçimi də mövcuddur, yalnız L3 DSCP sahələrinə əsaslanmır, həm də filial şəbəkəsində ixtisaslaşdırılmış cihazlar tərəfindən avtomatik olaraq yaradıla bilən L2 CoS dəyərlərinə əsaslanır - məsələn, IP telefonlar

AppQ siyasətlərinin müəyyən edilməsi və tətbiqi imkanları, üsulları necə fərqlənir?

DMVPN/PfR Siyasətləri:

  • CLI komanda xətti və ya CLI konfiqurasiya şablonları vasitəsilə mərkəzi filial yönləndirici(lər)ində müəyyən edilir. CLI şablonlarının yaradılması siyasət sintaksisinə hazırlıq və bilik tələb edir.

    Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

  • Qlobal olaraq müəyyən edilmişdir fərdi şəbəkə seqmentlərinin tələblərinə fərdi konfiqurasiya/dəyişiklik imkanı olmadan.
  • Qrafik interfeysdə interaktiv siyasət yaradılması təmin edilmir.
  • Sürətli keçid üçün dəyişikliklərin izlənməsi, miras alınması və siyasətlərin çoxsaylı versiyalarının yaradılması təmin edilmir.
  • Uzaq filialların marşrutlaşdırıcılarına avtomatik olaraq paylanır. Bu halda, istifadəçi məlumatlarının ötürülməsi üçün eyni rabitə kanalları istifadə olunur. Mərkəzi və uzaq filial arasında rabitə kanalı yoxdursa, siyasətlərin bölüşdürülməsi/dəyişdirilməsi mümkün deyil.
  • Onlar hər bir marşrutlaşdırıcıda istifadə olunur və zəruri hallarda daha yüksək prioritetə ​​malik olan standart marşrutlaşdırma protokollarının nəticəsini dəyişdirirlər.
  • Bütün filial WAN bağlantılarının əhəmiyyətli trafik itkisi ilə üzləşdiyi hallarda, kompensasiya mexanizmləri nəzərdə tutulmayıb.

SD-WAN Siyasətləri:

  • İnteraktiv şablon sehrbazı vasitəsilə vManage GUI-də müəyyən edilmişdir.
  • Real vaxt rejimində birdən çox siyasət yaratmağı, köçürməyi, miras almağı, siyasətlər arasında keçidi dəstəkləyir.
  • Müxtəlif şəbəkə seqmentləri (filiallar) üçün fərdi siyasət parametrlərini dəstəkləyir
  • Onlar nəzarətçi ilə marşrutlaşdırıcı və/və ya vSmart arasında hər hansı mövcud siqnal kanalından istifadə etməklə paylanır - marşrutlaşdırıcılar arasında məlumat müstəvisi əlaqəsindən birbaşa asılı deyil. Bu, əlbəttə ki, marşrutlaşdırıcının özü ilə nəzarətçilər arasında IP bağlantısı tələb edir.

    Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

  • Filialın bütün mövcud filialları kritik tətbiqlər üçün məqbul hədləri aşan əhəmiyyətli məlumat itkiləri ilə qarşılaşdıqda, ötürülmə etibarlılığını artıran əlavə mexanizmlərdən istifadə etmək mümkündür:
    • FEC (İrəli Səhv Korreksiyası) – xüsusi artıq kodlaşdırma alqoritmindən istifadə edir. Kritik trafiki əhəmiyyətli bir itki faizi olan kanallar üzərində ötürərkən, FEC avtomatik olaraq aktivləşdirilə bilər və lazım olduqda məlumatların itirilmiş hissəsini bərpa etməyə imkan verir. Bu, istifadə olunan ötürmə bant genişliyini bir qədər artırır, lakin etibarlılığı əhəmiyyətli dərəcədə artırır.

      Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

    • Məlumat axınlarının təkrarlanması – FEC-ə əlavə olaraq, siyasət FEC tərəfindən kompensasiya edilə bilməyən daha ciddi itkilər zamanı seçilmiş tətbiqlərin trafikinin avtomatik təkrarlanmasını təmin edə bilər. Bu halda, seçilmiş məlumatlar bütün tunellər vasitəsilə qəbuledici filiala doğru ötürüləcək və sonra təkrar təkrarlama aparılacaq (paketlərin əlavə nüsxələri atılmaqla). Mexanizm kanalın istifadəsini əhəmiyyətli dərəcədə artırır, həm də ötürmə etibarlılığını əhəmiyyətli dərəcədə artırır.

DMVPN/PfR-də birbaşa analoqları olmayan Cisco SD-WAN imkanları

Cisco SD-WAN həllinin arxitekturası bəzi hallarda DMVPN/PfR daxilində həyata keçirmək son dərəcə çətin olan və ya tələb olunan əmək xərclərinə görə praktiki olmayan və ya tamamilə qeyri-mümkün olan imkanlar əldə etməyə imkan verir. Onlardan ən maraqlılarına nəzər salaq:

Trafik Mühəndisliyi (TE)

TE-yə marşrutlaşdırma protokolları ilə formalaşan standart yoldan kənarda şaxələnməyə imkan verən mexanizmlər daxildir. TE tez-tez xidmətin keyfiyyətini və ya uğursuzluq halında bərpa sürətini təmin etmək üçün kritik trafiki alternativ (ayrılmış) ötürmə yoluna tez və/və ya proaktiv ötürmək imkanı vasitəsilə şəbəkə xidmətlərinin yüksək əlçatanlığını təmin etmək üçün istifadə olunur. əsas yolda.

TE-nin həyata keçirilməsində çətinlik, alternativ yolu əvvəlcədən hesablamaq və ehtiyat etmək (yoxlamaq) ehtiyacındadır. Telekommunikasiya operatorlarının MPLS şəbəkələrində bu problem IGP protokollarının və RSVP protokolunun genişləndirilməsi ilə MPLS Traffic-Engineering kimi texnologiyalardan istifadə etməklə həll edilir. Həmçinin bu yaxınlarda mərkəzləşdirilmiş konfiqurasiya və orkestrasiya üçün daha optimallaşdırılmış Seqment Yönləndirmə texnologiyası getdikcə populyarlaşır. Klassik WAN şəbəkələrində bu texnologiyalar ümumiyyətlə təqdim edilmir və ya trafiki şaxələndirməyə qadir olan Siyasət Əsaslı Marşrutlaşdırma (PBR) kimi hop-by-hop mexanizmlərinin istifadəsinə endirilir, lakin bunu hər bir marşrutlaşdırıcıda ayrıca həyata keçirir. şəbəkənin ümumi vəziyyətini nəzərə alaraq və ya PBR əvvəlki və ya sonrakı addımlarla nəticələnir. Bu TE seçimlərindən istifadənin nəticəsi məyusedicidir - konfiqurasiya və əməliyyatın mürəkkəbliyinə görə MPLS TE, bir qayda olaraq, şəbəkənin yalnız ən kritik hissəsində (əsas) istifadə olunur və PBR, ayrı-ayrı marşrutlaşdırıcılarda istifadə olunur. bütün şəbəkə üçün vahid PBR siyasəti yaratmaq imkanı. Aydındır ki, bu, DMVPN əsaslı şəbəkələrə də aiddir.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

Bu baxımdan SD-WAN nəinki konfiqurasiya etmək asan, həm də daha yaxşı miqyas alan daha zərif bir həll təklif edir. Bu, istifadə edilən idarəetmə təyyarəsi və siyasət müstəvisi arxitekturasının nəticəsidir. SD-WAN-da siyasət müstəvisinin həyata keçirilməsi TE siyasətini mərkəzləşdirilmiş şəkildə müəyyən etməyə imkan verir - hansı trafik maraq doğurur? hansı VPN-lər üçün? Hansı qovşaqlar/tunellər vasitəsilə alternativ marşrut yaratmaq lazımdır və ya əksinə, qadağandır? Öz növbəsində, vSmart nəzarətçiləri əsasında idarəetmə təyyarəsinin idarə edilməsinin mərkəzləşdirilməsi fərdi cihazların parametrlərinə müraciət etmədən marşrutlaşdırma nəticələrini dəyişdirməyə imkan verir - marşrutlaşdırıcılar artıq yalnız vManage interfeysində yaradılan və istifadə üçün ötürülən məntiqin nəticəsini görürlər. vSmart.

Xidmət-zəncirləmə

Xidmət zəncirlərinin formalaşdırılması klassik marşrutlaşdırmada artıq təsvir edilmiş Traffic- Engineering mexanizmindən daha çox əmək tutumlu işdir. Həqiqətən, bu halda, yalnız müəyyən bir şəbəkə tətbiqi üçün xüsusi marşrut yaratmaq deyil, həm də emal üçün SD-WAN şəbəkəsinin müəyyən (və ya bütün) qovşaqlarında şəbəkədən trafikin çıxarılması imkanını təmin etmək lazımdır. xüsusi proqram və ya xidmət (Firewall, Balanslaşdırma, Keşləmə, Yoxlama trafiki və s.). Eyni zamanda, qara dəliklərin qarşısını almaq üçün bu xarici xidmətlərin vəziyyətinə nəzarət etmək lazımdır və eyni tipli bu cür xarici xidmətlərin müxtəlif coğrafi yerlərdə yerləşdirilməsinə imkan verən mexanizmlərə də ehtiyac var. şəbəkənin avtomatik olaraq müəyyən bir filialın trafikini emal etmək üçün ən optimal xidmət nodeunu seçmək imkanı ilə. Cisco SD-WAN vəziyyətində, hədəf xidmət zəncirinin bütün aspektlərini vahid bütövlükdə “yapışdıran” və məlumat müstəvisini və idarəetmə müstəvisinin məntiqini avtomatik olaraq dəyişdirən müvafiq mərkəzləşdirilmiş siyasət yaratmaqla buna nail olmaq olduqca asandır. və lazım olduqda.

Cisco SD-WAN DMVPN-in oturduğu filialı kəsəcəkmi?

İxtisaslaşdırılmış (lakin SD-WAN şəbəkəsinin özü ilə əlaqəli olmayan) avadanlıqlarda müəyyən ardıcıllıqla seçilmiş proqram növlərinin trafikinin geo-paylanmış işlənməsini yaratmaq imkanı, bəlkə də Cisco SD-WAN-ın klassikdən üstünlüyünün ən bariz nümayişidir. texnologiyaları və hətta bəzi alternativ SD həlləri - digər istehsalçılardan WAN.

Nəticədə?

Aydındır ki, həm DMVPN (Performance Routing ilə və ya olmadan) və Cisco SD-WAN çox oxşar problemləri həll edir təşkilatın paylanmış WAN şəbəkəsinə münasibətdə. Eyni zamanda, Cisco SD-WAN texnologiyasında əhəmiyyətli memarlıq və funksional fərqlər bu problemlərin həlli prosesinə gətirib çıxarır. başqa keyfiyyət səviyyəsinə. Xülasə etmək üçün SD-WAN və DMVPN/PfR texnologiyaları arasında aşağıdakı əhəmiyyətli fərqləri qeyd edə bilərik:

  • DMVPN/PfR ümumiyyətlə üst-üstə düşən VPN şəbəkələrinin qurulması üçün zamanla sınaqdan keçirilmiş texnologiyalardan istifadə edir və məlumat müstəvisi baxımından daha müasir SD-WAN texnologiyasına bənzəyir, lakin məcburi statik konfiqurasiya şəklində bir sıra məhdudiyyətlər var. marşrutlaşdırıcılar və topologiyaların seçimi Hub-n-Spoke ilə məhdudlaşır. Digər tərəfdən, DMVPN/PfR SD-WAN daxilində hələ mövcud olmayan bəzi funksiyalara malikdir (söhbət hər proqram üçün BFD gedir).
  • İdarəetmə müstəvisində texnologiyalar əsaslı şəkildə fərqlənir. Siqnal protokollarının mərkəzləşdirilmiş işlənməsini nəzərə alaraq, SD-WAN, xüsusən də uğursuzluq domenlərini əhəmiyyətli dərəcədə daraltmağa və istifadəçi trafikinin siqnal qarşılıqlı əlaqəsindən ötürülməsi prosesini "ayırmağa" imkan verir - nəzarətçilərin müvəqqəti əlçatmazlığı istifadəçi trafikini ötürmək qabiliyyətinə təsir göstərmir. . Eyni zamanda, hər hansı bir filialın (o cümlədən mərkəzi olan) müvəqqəti olmaması digər filialların bir-biri və nəzarətçilərlə qarşılıqlı əlaqəsinə heç bir şəkildə təsir göstərmir.
  • SD-WAN vəziyyətində trafikin idarə edilməsi siyasətlərinin formalaşdırılması və tətbiqi arxitekturası da DMVPN/PfR-dən üstündür - geo rezervasiya daha yaxşı həyata keçirilir, Hub ilə əlaqə yoxdur, cərimələr üçün daha çox imkanlar var. -tənzimləmə siyasətləri, həyata keçirilən trafikin idarə edilməsi ssenarilərinin siyahısı da daha böyükdür.
  • Həllin orkestrləşdirilməsi prosesi də əhəmiyyətli dərəcədə fərqlidir. DMVPN, həllin çevikliyini və dinamik dəyişikliklərin mümkünlüyünü bir qədər məhdudlaşdıran konfiqurasiyada bir şəkildə əks olunmalı olan əvvəllər məlum parametrlərin mövcudluğunu nəzərdə tutur. Öz növbəsində, SD-WAN, qoşulmanın ilkin anında marşrutlaşdırıcının nəzarətçiləri haqqında "heç nə bilmədiyi", lakin "kimdən soruşa biləcəyinizi" bilməsi paradiqmasına əsaslanır - bu, yalnız avtomatik olaraq əlaqə qurmaq üçün kifayət deyil. nəzarətçiləri, həm də avtomatik olaraq tam əlaqəli məlumat müstəvisi topologiyasını formalaşdırmaq üçün, sonra siyasətlərdən istifadə edərək çevik şəkildə konfiqurasiya edilə/dəyişdirilə bilər.
  • Mərkəzləşdirilmiş idarəetmə, avtomatlaşdırma və monitorinq baxımından SD-WAN-ın klassik texnologiyalardan inkişaf etmiş və CLI komanda xəttinə və şablon əsaslı NMS sistemlərinin istifadəsinə daha çox arxalanan DMVPN/PfR imkanlarını üstələyəcəyi gözlənilir.
  • SD-WAN-da DMVPN ilə müqayisədə təhlükəsizlik tələbləri fərqli keyfiyyət səviyyəsinə çatıb. Əsas prinsiplər sıfır etibar, miqyaslılıq və iki faktorlu autentifikasiyadır.

Bu sadə nəticələr DMVPN/PfR əsasında şəbəkənin yaradılmasının bu gün bütün aktuallığını itirdiyi barədə yanlış təəssürat yarada bilər. Bu, əlbəttə ki, tamamilə doğru deyil. Məsələn, şəbəkənin çoxlu köhnəlmiş avadanlıqdan istifadə etdiyi və onu əvəz etmək üçün heç bir yol olmadığı hallarda, DMVPN sizə "köhnə" və "yeni" cihazları təsvir olunan bir çox üstünlükləri olan bir geo-paylanmış şəbəkədə birləşdirməyə imkan verə bilər. yuxarıda.

Digər tərəfdən, yadda saxlamaq lazımdır ki, IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) əsasında bütün cari Cisco korporativ marşrutlaşdırıcıları bu gün istənilən iş rejimini dəstəkləyir - həm klassik marşrutlaşdırma, həm də DMVPN və SD-WAN - seçim cari ehtiyaclar və hər an eyni avadanlıqdan istifadə edərək daha qabaqcıl texnologiyaya doğru hərəkət etməyə başlaya biləcəyiniz anlayışı ilə müəyyən edilir.

Mənbə: www.habr.com

Добавить комментарий