ProHoster > блог > адміністраванне > Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Са жніўня 2017 года, калі кампанія Cisco набыла кампанію Viptela, асноўнай прапанаванай тэхналогіяй арганізацыі размеркаваных карпаратыўных сетак стала Cisco SD-WAN. За мінулыя 3 гады SD-WAN тэхналогія прайшла мноства змен, як якаснага, так і колькаснага характару. Так значна пашырэлі функцыянальныя магчымасці і з'явілася падтрымка на класічных маршрутызатарах серый. Cisco ISR 1000, ISR 4000, ASR 1000 і віртуальнага CSR 1000v. У той жа час многія заказчыкі і партнёры Cisco працягваюць задавацца пытаннем - у чым заключаюцца адрозненні Cisco SD-WAN ад ужо звыклых падыходаў на базе такіх тэхналогій, як Cisco DMVPN и Cisco Performance Routing і наколькі гэтыя адрозненні важныя?

Тут адразу варта зрабіць агаворку, што да з'яўлення SD-WAN у партфоліё Cisco, DMVPN сумесна з PfR складалі ключавую частку ў архітэктуры Cisco IWAN (Intelligent WAN), Якая ў сваю чаргу ўяўляла сабой папярэдніка паўнаважкай SD-WAN тэхналогіі. Пры агульным падабенстве, як саміх развязальных задач, так і спосабаў іх рашэння, IWAN так і не атрымаў неабходнага для SD-WAN узроўня аўтаматызацыі, гнуткасці і маштабаванасці і з часам развіццё IWAN значна знізілася. У той жа час самі тэхналогіі-складнікі IWAN нікуды не падзеліся, і шматлікія замоўцы працягваюць іх паспяхова выкарыстоўваць у тым ліку на сучасным абсталяванні. У выніку склалася цікавая сітуацыя - адно і тое ж абсталяванне Cisco дазваляе выбраць найбольш прыдатную тэхналогію пабудовы WAN (класічную, DMVPN + PfR або SD-WAN) у адпаведнасці з патрабаваннямі і чаканнямі заказчыкаў.

Артыкул не мяркуе падрабязна разбіраць усе асаблівасці тэхналогій Cisco SD-WAN і DMVPN (сумесна або без Performance Routing) – для гэтага маецца велізарная колькасць даступных дакументаў і матэрыялаў. Асноўная задача - паспрабаваць ацаніць ключавыя адрозненні гэтых тэхналогій. Але ўсё ж перш, чым перайсці да абмеркавання гэтых адрозненняў, коратка нагадаем аб саміх тэхналогіях.

Што такое Cisco DMVPN і навошта ён патрэбен?

Cisco DMVPN вырашае задачу дынамічнага (=маштабаванага) падлучэнні сеткі выдаленага філіяла да сеткі цэнтральнага офіса прадпрыемства пры выкарыстанні адвольных тыпаў каналаў сувязі ў тым ліку Інтэрнэт (= з шыфраваннем канала сувязі). Тэхнічна гэта рэалізуецца стварэннем віртуалізаванай накладзенай сеткі класа L3 VPN у рэжыме кропка – шмат кропка (point-to-multipoint) з лагічнай тапалогіяй тыпу "Зорка" (Hub-n-Spoke). Для гэтага DMVPN выкарыстоўвае камбінацыю наступных тэхналогій:

  • IP маршрутызацыя
  • Multipoint GRE тунэлі (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto профілі

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

У чым асноўныя перавагі Cisco DMVPN у параўнанні з класічнай маршрутызацыяй з выкарыстаннем MPLS VPN каналаў?

  • Для стварэння міжфіліяльнай сеткі магчыма выкарыстоўваць любыя каналы сувязі - падыходзіць усё, што здольна забяспечыць IP-складнасць паміж філіяламі, пры гэтым трафік будзе і шыфравацца (дзе трэба) і балансавацца (дзе магчыма)
  • Аўтаматычна фарміруецца поўна сувязная тапалогія паміж філіяламі. Пры гэтым паміж цэнтральным і выдаленым філіяламі - статычныя тунэлі, а паміж выдаленымі філіяламі - дынамічныя тунэлі па патрабаванні (пры наяўнасці трафіку)
  • На маршрутызатарах цэнтральнага і выдаленага філіяла аднастайная канфігурацыя з дакладнасцю да IP-адрасоў інтэрфейсаў. За кошт выкарыстання mGRE няма неабходнасці ў індывідуальнай наладзе дзясяткаў, сотняў ці нават тысяч тунэляў. Як следства, годная маштабаванасць пры правільным дызайне.

Што такое Cisco Performance Routing і навошта ён патрэбен?

Пры выкарыстанні DMVPN на міжфіліяльнай сетцы застаецца нявырашаным адно вельмі важнае пытанне - як дынамічна ацаніць стан кожнага з DMVPN тунэляў на прадмет адпаведнасці патрабаванням крытычнага для нашай арганізацыі трафіку і зноў жа на аснове такой ацэнкі дынамічна прымаць рашэнне аб перамаршрутызацыі? Справа ў тым, што DMVPN у гэтай частцы нешматлікім адрозніваецца ад класічнай маршрутызацыі – лепшае, што можна зрабіць, гэта наладзіць механізмы QoS, якія дазволяць прыярытэзаваць трафік у выходным кірунку, але ніяк не здольныя ўлічваць стан усяго шляху ў той ці іншы момант часу.

І што рабіць, калі канал дэградуе часткова, а не цалкам - як гэта выявіць і ацаніць? DMVPN сам па сабе гэтага не ўмее. Улічваючы, што каналы, якія злучаюць філіялы, могуць праходзіць праз зусім розных аператараў сувязі, выкарыстоўваючы зусім розныя тэхналогіі, то гэтая задача становіцца вельмі нетрывіяльнай. І вось тут на дапамогу прыходзіць тэхналогія Cisco Performance Routing, якая да таго часу прайшла ўжо некалькі стадый развіцця.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Задача Cisco Performance Routing (далей PfR) зводзіцца да вымярэння стану шляхоў (тунэляў) праходжання трафіку на аснове ключавых метрык, важных для сеткавых прыкладанняў затрымка, варыяцыя затрымкі (джытэр) і страты пакетаў (у працэнтах). Дадаткова можа вымярацца выкарыстоўваная паласа прапускання. Гэтыя вымярэнні адбываюцца максімальна блізка да рэальнага часу (наколькі гэта магчыма і апраўдана) і вынік гэтых вымярэнняў дазваляе маршрутызатару, выкарыстоўваламу PfR, дынамічна прымаць рашэнні аб неабходнасці змены маршрутызацыі таго ці іншага выгляду трафіку.

Такім чынам задачу камбінацыі DMVPN/PfR можна коратка ахарактарызаваць наступным чынам:

  • Дазволіць заказчыку выкарыстоўваць на WAN сеткі любыя каналы сувязі
  • Забяспечыць максімальна магчымую якасць важных прыкладанняў на гэтых каналах.

Што такое Cisco SD-WAN?

Cisco SD-WAN - гэта тэхналогія, якая выкарыстоўвае SDN падыход для стварэння і эксплуатацыі WAN сеткі арганізацыі. Гэта ў прыватнасці азначае выкарыстанне так званых кантролераў (праграмных элементаў), якія забяспечваюць цэнтралізаваную аркестрацыю і аўтаматызаваную настройку ўсіх кампанентаў рашэння. У адрозненні ад кананічнага SDN (у стылі Clean Slate) у Cisco SD-WAN выкарыстоўваецца адразу некалькі тыпаў кантролераў, кожны з якіх выконвае сваю ролю - гэта зроблена наўмысна з мэтай забяспечыць лепшую маштабаванасць і гео-рэзерваванне.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

У выпадку SD-WAN задача выкарыстання любых тыпаў каналаў і забеспячэнне працы бізнэс-прыкладанняў захоўваецца, але пры гэтым пашыраюцца патрабаванні да аўтаматызацыі, маштабаванні, бяспецы і гнуткасці такой сеткі.

Абмеркаванне адрозненняў

Калі зараз пачаць аналізаваць адрозненні гэтых тэхналогій, то яны будуць пападаць у адну з катэгорый:

  • Архітэктурныя адрозненні - як размеркаваны функцыі па розных кампанентах рашэння, як арганізавана ўзаемадзеянне такіх кампанентаў і як гэта ўплывае на магчымасці і гнуткасць тэхналогіі?
  • Функцыянальныя магчымасці - што такога можа адна тэхналогія, чаго не можа іншая? І ці так гэта важна?

У чым заключаны архітэктурныя адрозненні і ці так яны важныя?

У кожнай з пазначаных тэхналогій маецца мноства «якія рухаюцца частак», у якіх адрозніваецца не толькі роля, але і прынцыпы ўзаемадзеяння сябар з сябрам. Ад таго, наколькі прадуманы гэтыя прынцыпы, і агульная механіка рашэння напрамую залежыць яго маштабаванасць, адмоваўстойлівасць і агульная эфектыўнасць.

Разгледзім розныя аспекты архітэктуры больш падрабязна:

Data-plane - Частка рашэння, якое адказвае за перадачу карыстацкага трафіку паміж крыніцай і атрымальнікам. У DMVPN і SD-WAN рэалізуецца ў цэлым аднолькава на саміх маршрутызатарах на базе Multipoint GRE тунэляў. Розніца ў тым, за кошт чаго фармуецца неабходны набор параметраў гэтых тунэляў:

  • в DMVPN/PfR - гэта выключна двухузроўневая іерархія вузлоў з тапалогіяй тыпу «Зорка» або Hub-n-Spoke. Абавязковая статычная настройка Hub і статычная прывязка Spoke да Hub, а таксама ўзаемадзеянне па пратаколе NHRP для фарміравання data-plane складнасці. Як следства, значна абцяжараныя змены на Hub, звязаныя, напрыклад са зменай/падлучэннем новых WAN-каналаў ці змены параметраў існых.
  • в SD WAN – гэта цалкам дынамічная мадэль выяўлення параметраў усталёўваных тунэляў з апорай на control-plane (пратакол OMP) і orchestration-plane (узаемадзеянне з кантролерам vBond для задач выяўлення кантролераў і NAT traversal). Пры гэтым накладзеныя тапалогіі могуць любыя, у тым ліку іерархічныя. У рамках усталяванай накладзенай тапалогіі тунэляў магчымая гнуткая настройка лагічнай тапалогіі ў кожным асобным VPN(VRF).

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Control-plane - функцыі абмену, фільтрацыі і мадыфікацыі маршрутнай і іншай інфармацыі паміж кампанентамі рашэння.

  • в DMVPN/PfR - ажыццяўляецца толькі паміж маршрутызатарамі Hub і Spoke. Прамы абмен маршрутнай інфармацыяй паміж Spoke немагчымы. Як следства, без дзеючага Hub немагчыма функцыянаванне control-plane і data-plane, Што накладвае на Hub дадатковыя патрабаванні па высокай даступнасці, якія не заўсёды могуць быць выкананы.
  • в SD WAN - control-plane ніколі не ажыццяўляецца напрамую паміж маршрутызатарамі - узаемадзеянне адбываецца на аснове пратакола OMP і абавязкова ажыццяўляецца праз асобны спецыялізаваны тып кантролера vSmart, што забяспечвае магчымасць балансавання, гео-рэзервавання і цэнтралізаванага кіравання сігнальнай нагрузкай. Іншы асаблівасцю OMP пратакола з'яўляецца яго значная ўстойлівасць да страт і незалежнасць ад хуткасці канала сувязі з кантролерамі (у разумных межах, вядома). Што аднолькава паспяхова дазваляе размяшчаць кантролеры SD-WAN у публічных ці прыватных аблоках з доступам праз Інтэрнэт.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Policy-plane – частка рашэння, якое адказвае за вызначэнне, распаўсюджванне і прымяненне палітык кіравання трафікам на размеркаванай сетцы.

  • DMVPN – фактычна абмежавана палітыкамі якасці абслугоўвання (QoS), якія наладжваюцца індывідуальна на кожным маршрутызатары праз CLI або шаблоны Prime Infrastructure.
  • DMVPN/PfR - палітыкі PfR фармуюцца на цэнтралізаваным маршрутызатары Master Controller (MC) праз CLI і далей аўтаматычна распаўсюджваюцца ў філіяльныя MC. Пры гэтым выкарыстоўваюцца тыя ж шляхі перадачы палітык, што і для data-plane. Магчымасці разнесці абмен палітыкамі, маршрутнай інфармацыяй і карыстальніцкімі дадзенымі няма. Распаўсюджванне палітык мяркуе абавязковую наяўнасць IP-складнасці паміж Hub і Spoke. Пры гэтым функцыя MC можа быць пры неабходнасці сумешчана з DMVPN маршрутызатарам. Магчыма (але не патрабуецца) выкарыстанне шаблонаў Prime Infrastructure для цэнтралізаванага фармавання палітык. Важная асаблівасць - палітыка фармуецца глабальна на ўсёй сетцы аднолькава - індывідуальныя палітыкі для асобных сегментаў не падтрымліваюцца.
  • SD WAN - палітыкі кіравання трафікам і якасцю абслугоўвання вызначаюцца цэнтралізавана праз графічны інтэрфейс Cisco vManage даступны ў тым ліку і праз Інтэрнэт (пры неабходнасці). Распаўсюджваюцца па сігнальных каналах напрамую або апасродкавана праз кантролеры vSmart (залежыць ад тыпу палітыкі). Не залежаць ад data-plane складнасці паміж маршрутызатарамі, т.я. выкарыстоўваюць усе даступныя шляхі перадачы трафіку паміж кантролерам і маршрутызатарам.

    Для розных сегментаў сеткі магчыма гнуткае фарміраванне розных палітык - сфера прымянення палітыкі вызначаецца мноствам унікальных ідэнтыфікатараў, прадугледжаных у рашэнні - нумар філіяла, тып прыкладання, кірунак руху трафіку і г.д.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Orchestration-plane - механізмы якія дазваляюць кампанентам дынамічна выявіць адзін аднаго, наладзіць і каардынаваць наступнае ўзаемадзеянне.

  • в DMVPN/PfR узаемнае выяўленне маршрутызатарамі заснавана на статычнай канфігурацыі Hub прылад і якая адпавядае наладзе Spoke прылад. Дынамічнае выяўленне адбываецца толькі для Spoke, які паведамляе аб сваіх параметрах злучэння Hub прыладзе, якое ў сваю чаргу загадзя занесена ў канфігурацыю Spoke. Без IP-складнасці Spoke з хаця б адным Hub немагчыма сфармаваць ні data-plane, ні control-plane.
  • в SD WAN аркестрацыя кампанентаў рашэння адбываецца з выкарыстаннем кантролера vBond, з якім кожнаму кампаненту (маршрутызатарам і кантролерам vManage/vSmart) неабходна папярэдне ўсталяваць IP-складнасць.

    Першапачаткова кампаненты не ведаюць аб параметрах падлучэння адзін аднаго - для гэтага ім неабходны пасярэднік-аркестратар vBond. Агульны прынцып наступны - кожны кампанент у пачатковай фазе пазнае (аўтаматычна ці статычна) толькі аб параметрах падлучэння да vBond, далей vBond паведамляе маршрутызатару аб кантролерах vManage і vSmart (выяўленых раней), што робіць магчымым аўтаматычнае ўсталяванне ўсіх неабходных сігнальных сувязяў.

    Наступным крокам новы маршрутызатар даведаецца пра астатніх маршрутызатараў у сетцы праз OMP-абмен з кантролерам vSmart. Такім чынам маршрутызатар, не ведаючы першапачаткова аб параметрах сеткі наогул нічога, здольны цалкам аўтаматычна выявіць і падлучыцца да кантролераў і затым таксама аўтаматычна выявіць і сфармаваць складнасць з астатнімі маршрутызатарамі. Пры гэтым параметры падлучэнняў усіх кампанентаў першапачаткова невядомыя і падчас эксплуатацый могуць мяняцца.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Management-plane - Частка рашэння, якая забяспечвае цэнтралізаванае кіраванне і маніторынг.

  • DMVPN/PfR – спецыялізаванага management-plane рашэння не прадугледжана. Для базавай аўтаматызацыі і маніторынгу магчымае выкарыстанне такіх прадуктаў, як Cisco Prime Infrastructure. Кожны маршрутызатар мае магчымасць кіравання праз камандны радок CLI. Інтэграцыі з вонкавымі сістэмамі праз API не прадугледжана.
  • SD WAN - усё штатнае ўзаемадзеянне і маніторынг ажыццяўляецца цэнтралізавана праз графічны інтэрфейс кантролера vManage. Усе магчымасці рашэння без выключэння даступныя да налады праз vManage, а таксама праз цалкам дакументаваную бібліятэку праграмнага інтэрфейсу REST API.

    Усе налады SD-WAN сеткі ў vManage зводзяцца да двух асноўных канструктаў – фармаванне шаблонаў прылад (Device Template) і фармаванне палітыкі, якая вызначае логіку працы сеткі і апрацоўкі трафіку. Пры гэтым vManage, транслюючы сфармаваную адміністратарам палітыку, аўтаматычна выбірае якія змены і на якіх індывідуальных прыладах/кантролерах неабходна вырабіць, што значна падвышае эфектыўнасць і маштабаванасць рашэння.

    Праз інтэрфейс vManage даступная не толькі настройка рашэння Cisco SD-WAN, але і паўнавартасны маніторынг стану ўсіх кампанентаў рашэння аж да бягучага стану метрык асобных тунэляў і статыстыкі выкарыстання розных прыкладанняў на аснове DPI аналізу.

    Нягледзячы на ​​цэнтралізацыю ўзаемадзеяння, усе кампаненты (кантролеры і маршрутызатары) валодаюць таксама поўнафункцыянальным камандным радком CLI, якая неабходна на этапе ўкаранення або ў выпадку няштатнай сітуацыі для лакальнай дыягностыкі. У штатным рэжыме (пры наяўнасці сігнальнага канала паміж кампанентамі) на маршрутызатарах камандны радок даступная толькі для дыягностыкі і недаступная для занясення лакальных змен, што гарантуе і лакальную бяспеку і адзіная крыніца змен у такой сетцы – vManage.

Інтэграваная бяспека – тут гаворка павінна ісці не толькі аб абароне карыстацкіх дадзеных пры перадачы па адчыненых каналах, але і аб агульнай абароненасці WAN-сеткі на базе абранай тэхналогіі.

  • в DMVPN/PfR прадугледжана магчымасць шыфравання карыстацкіх дадзеных і сігнальных пратаколаў. Пры выкарыстанні вызначаных мадэляў маршрутызатараў дадаткова даступныя функцыі міжсеткавага экранавання з інспекцыяй трафіку, IPS/IDS. Ёсць магчымасць сегментацыі філіяльных сетак з выкарыстаннем VRF. Ёсць магчымасць аўтэнтыфікацыі (аднафактарнага) кантрольных пратаколаў.

    Пры гэтым выдалены маршрутызатар па-змаўчанні лічыцца давераным элементам сеткі - г.зн. не мяркуюцца і не ўлічваюцца выпадкі фізічнай кампраметацыі асобных прылад і магчымасць несанкцыянаванага да іх доступу, няма двухфактарнай аўтэнтыфікацыі кампанентаў рашэння, што ў выпадку геаграфічна размеркаванай сеткі можа несці сур'ёзныя дадатковыя рызыкі.

  • в SD WAN па аналогіі з DMVPN прадугледжана магчымасць шыфравання карыстацкіх дадзеных, але са значна пашыранымі функцыямі сеткавай бяспекі і L3/VRF сегментацыі (МСЭ, IPS/IDS, URL-фільтраванне, DNS-фільтраванне, AMP/TG, SASE, TLS/SSL proxy і т.д. д.). Пры гэтым абмен ключамі шыфравання ажыццяўляецца больш эфектыўна праз vSmart кантролеры (а не напроста), па загадзя ўсталяваным сігнальным каналам, абароненым DTLS/TLS шыфраваннем на аснове сертыфікатаў бяспекі. Што ў сваю чаргу гарантуе бяспеку такога абмену і забяспечвае лепшую маштабаванасць рашэння ў плоць да дзясяткаў тысяч прылад у адной сетцы.

    Усе сігнальныя злучэнні (кантролер-кантролер, кантролер маршрутызатар) таксама абаронены на аснове DTLS/TLS. Маршрутызатары абсталёўваюцца сертыфікатамі бяспекі пры вытворчасці з магчымасцю замены/падаўжэнні. Двухфактарная аўтэнтыфікацыя дасягаецца за кошт абавязковага і адначасовага выканання дзвюх умоў для магчымасці функцыянавання маршрутызатара/кантролера ў SD-WAN сеткі:

    • Дзеючы сертыфікат бяспекі
    • Відавочнае і ўсвядомленае занясенне адміністратарам кожнага кампанента ў "белы" спіс дазволеных прылад.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Функцыянальныя адрозненні SD-WAN і DMVPN/PfR

Пераходзячы да абмеркавання функцыянальных адрозненняў, трэба адзначыць, што многія з іх з'яўляюцца працягам архітэктурных - не сакрэт, што пры фарміраванні архітэктуры рашэнні распрацоўшчыкі адштурхваюцца ад тых магчымасцяў, якія хочуць атрымаць у выніку. Разгледзім найболей значныя адрозненні двух тэхналогій.

AppQ (Application Quality) - функцыі забеспячэння якасці перадачы трафіку бізнес-прыкладанняў

Ключавыя функцыі разгляданых тэхналогій накіраваны на тое, каб наколькі гэта магчыма палепшыць карыстацкі досвед пры выкарыстанні бізнэс-крытычных прыкладанняў у размеркаванай сетцы. Гэта асабліва важна ва ўмовах, калі частка інфраструктуры не кантралюецца IT ці нават не гарантуе паспяховую перадачу даных.

DMVPN самастойна не дае такіх механізмаў. Лепшае, што магчыма зрабіць у класічнай DMVPN сеткі, гэта класіфікаваць выходны трафік па дадатках і прыярытэзаваць яго пры перадачы ў напрамку WAN-канала. Выбар DMVPN тунэля абумоўлены ў гэтым выпадку толькі яго даступнасцю і вынікам працы пратаколаў маршрутызацыі. Пры гэтым ніяк не ўлічваецца скразны стан шляху/тунэля і яго магчымая частковая дэградацыя з пункту гледжання ключавых метрык, значных для сеткавых прыкладанняў - затрымка, варыяцыя затрымкі (джытар) і страты (%). У сувязі з гэтым наўпрост параўноўваць класічны DMVPN c SD-WAN у частцы рашэння AppQ задач губляе ўсякі сэнс - DMVPN не можа вырашыць гэтую задачу. Пры даданні ў гэты кантэкст тэхналогіі Cisco Performance Routing (PfR) сітуацыя мяняецца і параўнанне з Cisco SD-WAN становіцца больш мэтазгодным.

Перш, чым перайсці да абмеркавання адрозненняў, сцісла аб тым, у чым тэхналогіі падобныя. Такім чынам, абедзве тэхналогіі:

  • маюць у наяўнасці механізм, які дазваляе дынамічна ацаніць стан кожнага ўсталяванага тунэля ў разрэзе вызначаных метрык – як мінімум, затрымка, варыяцыя затрымкі і страты пакетаў (%)
  • выкарыстоўваюць пэўны набор інструментаў для фарміравання, распаўсюджвання і прымянення правілаў (палітык) кіравання трафікам з улікам выніку вымярэння стану ключавых метрык тунэляў.
  • класіфікуюць трафік прыкладанняў на ўзроўнях L3-L4 (DSCP) мадэлі OSI або па L7 сігнатурам прыкладанняў на аснове убудаваных у маршрутызатар DPI механізмаў
  • дазваляюць для значных прыкладанняў вызначыць дапушчальныя парогавыя значэнні метрык, правілы перадачы трафіку па-змаўчанні, правілы перамаршрутызацыі трафіку пры перавышэнні парогавых значэнняў.
  • пры інкапсуляцыі трафіку ў GRE/IPSec выкарыстоўваюць ужо ўстоянай у індустрыі механізм пераносу ўнутранай DSCP маркіроўкі ў вонкавы GRE/IPSEC загаловак пакета, што дазваляе сінхранізаваць палітыкі QoS арганізацыі і аператара сувязі (пры наяўнасці адпаведнага SLA).

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Як адрозніваюцца механізмы адзнакі скразных метрык SD-WAN і DMVPN/PfR?

DMVPN/PfR

  • Для адзнакі стандартных метрык стану тунэля выкарыстоўваюцца як актыўныя, так і пасіўныя праграмныя сэнсары (Probes). Актыўныя - на аснове карыстацкага трафіку, пасіўныя эмулююць такі трафік (пры яго адсутнасці).
  • Тонкая настройка таймераў і ўмоў выяўлення дэградацыі адсутнічае - алгарытм фіксаваны.
  • Дадаткова даступна вымярэнне выкарыстоўванай паласы прапускання ў выходным кірунку. Што дадае DMVPN/PfR дадатковую гнуткасць кіравання трафікам.
  • Пры гэтым некаторыя механізмы PfR пры перавышэнні метрык належаць на зваротную сігнальную сувязь у выглядзе спецыяльных TCA (Threshold Crossing Alert) паведамленняў, якія павінны зыходзіць ад атрымальніка трафіку ў бок крыніцы, што ў сваю чаргу мяркуе, што стану вымяраных каналаў павінна быць як мінімум дастаткова для перадачы такіх TCA-паведамленняў. Што ў большасці выпадкаў не праблема, але відавочна не можа быць гарантавана.

SD WAN

  • Для скразной адзнакі стандартных метрык стану тунэля выкарыстоўваецца пратакол BFD у echo-рэжыме. Пры гэтым спецыяльнай зваротнай сувязі ў выглядзе TCA або падобных паведамленняў не патрабуецца - выконваецца ізаляванасць даменаў адмовы. Таксама не патрабуецца прысутнасць карыстацкага трафіку для адзнакі стану тунэля.
  • Ёсць магчымасць тонкай налады таймераў BFD для рэгулявання хуткасці спрацоўвання і адчувальнасці алгарытму да дэградацый канала сувязі ад некалькіх секунд да хвілін.

    Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

  • На момант напісання артыкула ў кожным з тунэляў прадугледжана толькі адна BFD сесія. Патэнцыйна гэта стварае меншую гранулярнасць пры аналізе стану тунэля. У рэчаіснасці гэта можа стаць абмежаваннем толькі ў выпадку выкарыстання WAN-падлучэння на базе MPLS L2/L3 VPN з узгодненым QoS SLA – калі DSCP-маркіроўка BFD трафіку (пасля інкапсуляцыі ў IPSec/GRE) будзе супадаць з высокапрыярытэтнай чаргой у сетцы аператара сувязі, то гэта можа паўплываць на дакладнасць і хуткасць выяўлення дэградацыі для нізкапрыярытэтнага трафіку. Пры гэтым ёсць магчымасць змены маркіроўкі BFD па-змаўчанні для зніжэння рызыкі ўзнікнення падобных сітуацый. У наступных версіях ПА Cisco SD-WAN чакаецца з'яўленне больш тонкай налады BFD, а таксама магчымасць запуску некалькіх BFD сесій у рамках аднаго тунэля з індывідуальнымі DSCP-значэннямі (для розных прыкладанняў).
  • BFD дадаткова дазваляе ацаніць максімальны памеру пакета, які магчыма перадаць па тым ці іншым тунэлі без фрагментацыі. Гэта дазваляе SD-WAN дынамічна наладжваць такія параметры, як MTU і TCP MSS Adjust, каб максімальна эфектыўна выкарыстоўваць даступную паласу прапускання на кожным канале.
  • У SD-WAN таксама даступная опцыя сінхранізацыі QoS з аператараў сувязі не толькі на аснове L3 DSCP поля, але і на аснове L2 CoS значэнняў, якія могуць аўтаматычна фармавацца ў філіяльнай сетцы спецыялізаванымі прыладамі – напрыклад, IP-тэлефонамі

Як адрозніваюцца магчымасці, спосабы вызначэння і прымянення AppQ палітык?

Палітыкі DMVPN/PfR:

  • Вызначаюцца на маршрутызатары (-ах) цэнтральнага філіяла (ЦФ) праз камандны радок CLI або CLI-шаблоны канфігурацый. Фарміраванне CLI-шаблонаў патрабуе падрыхтоўкі і веды сінтаксісу палітык.

    Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

  • Вызначаюцца глабальна без магчымасці індывідуальнай наладкі/змены пад патрабаванні асобных сегментаў сеткі.
  • Інтэрактыўнае фармаванне палітык у графічным інтэрфейсе не прадугледжана.
  • Адсочванне змен, атрыманне ў спадчыну, стварэнне некалькіх версій палітык для хуткага пераключэння не прадугледжана.
  • Распаўсюджваюцца аўтаматычна на маршрутызатары выдаленых філіялаў. Пры гэтым выкарыстоўваюцца тыя ж каналы сувязі, што і для перадачы карыстацкіх даных. Пры адсутнасці канала сувязі паміж цэнтральным і выдаленым філіялам распаўсюджванне/змена палітык немагчыма.
  • Прымяняюцца на кожным маршрутызатары і пры неабходнасці мадыфікуюць вынік стандартных пратаколаў маршрутызацыі, маючы больш высокі прыярытэт.
  • Для выпадкаў, калі ўсе WAN-каналы філіяла адчуваюць значныя страты трафіку, механізмаў кампенсацыі не прадугледжана.

Палітыкі SD-WAN:

  • Вызначаюцца ў графічным інтэрфейсе vManage праз інтэрактыўны майстар шаблонаў.
  • Падтрымліваюць стварэнне некалькіх палітык, капіраванне, атрыманне ў спадчыну, пераключэнне паміж палітыкамі ў рэальным рэжыме часу.
  • Падтрымліваюць індывідуальную настройку палітыкі пад розныя сегменты (філіялы) сеткі
  • Распаўсюджваюцца, выкарыстаючы любы даступны сігнальны канал паміж кантролерам і маршрутызатарам і/ці vSmart – не залежаць напроста ад data-plane складнасці паміж маршрутызатарамі. Пры гэтым вядома патрабуецца IP-складнасць паміж самім маршрутызатарам і кантролерамі.

    Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

  • Для выпадкаў, калі ўсе даступныя каналы філіяла адчуваюць значныя страты дадзеных, якія перавышаюць дапушчальныя парогавыя значэнні для крытычных прыкладанняў, магчыма выкарыстанне дадатковых механізмаў, якія падвышаюць надзейнасць перадачы:
    • FEC (Forward Error Correction) – выкарыстоўвае спецыяльны алгарытм залішняга кадавання. Пры перадачы крытычнага трафіку па каналах са значным працэнтам страт, FEC можа быць аўтаматычна актываваны і дазваляе пры неабходнасці аднавіць страчаную частку дадзеных. Пры гэтым нязначна павялічваецца выкарыстоўваная паласа перадачы, але значна павялічваецца надзейнасць.

      Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

    • Публікацыя патокаў дадзеных - дадаткова да FEC палітыка можа прадугледжваць аўтаматычнае дубляванне трафіку выбраных прыкладанняў у выпадку яшчэ больш сур'ёзнага ўзроўню страт, якія не ўдаецца кампенсаваць з дапамогай FEC. У гэтым выпадку абраныя дадзеныя будуць перадавацца па ўсіх тунэлях у бок філіяла-атрымальніка з наступнай дэ-дублікацыяй (адкідванні лішніх копій пакетаў). Механізм прыкметна павялічвае ўтылізацыю каналаў, але гэтак жа значна падвышае надзейнасць перадачы.

Магчымасці Cisco SD-WAN, без прамых аналагаў у DMVPN/PfR

Архітэктура рашэння Cisco SD-WAN у некаторых выпадку дазваляе атрымаць магчымасці, рэалізацыя якіх у рамках DMVPN / PfR альбо вельмі абцяжарана, альбо немэтазгодна ў сілу неабходных працавыдаткаў, альбо наогул немагчымая. Разгледзім найболей цікавыя з іх:

Traffic-Engineering (TE)

TE уключае механізмы, якія дазваляюць адгалінаваць трафік ад стандартнага шляху, сфармаванага пратаколамі маршрутызацыі. TE часта выкарыстоўваецца для забеспячэння высокай даступнасці сеткавых сэрвісаў, за кошт здольнасці хутка і/ці загадзя перавесці важны трафік на альтэрнатыўны (неперасякальны) шлях перадачы, з мэтай забеспячэння лепшай якасці сэрвісу або хуткасці яго аднаўлення ў выпадку збою на асноўным шляху.

Складанасць рэалізацыі TE заключаецца ў неабходнасці загадзя вылічыць і зарэзерваваць (праверыць) альтэрнатыўны шлях. У MPLS сетках аператараў сувязі гэтую задачу вырашаюць, выкарыстоўваючы такія тэхналогіі, як MPLS Traffic-Engineering з пашырэннямі IGP пратаколаў і RSVP пратаколу. Таксама ў апошні час усё большую папулярнасць набірае тэхналогія Segment Routing, якая больш аптымізавана для цэнтралізаванай наладкі і аркестрацыі. У класічных WAN сетках гэтыя тэхналогіі, як правіла, не прадстаўлены ці зведзены да выкарыстання hop-by-hop механізмаў накшталт Policy-Based Routing (PBR), якія здольныя адказаць трафік, але рэалізуюць гэта на кожным маршрутызатары асобна - без уліку агульнага стану сеткі або выніку PBR на папярэднім ці наступных кроках. Вынік ужывання гэтых варыянтаў TE несуцяшальны – MPLS TE з прычыны складанасці налады і эксплуатацыі, выкарыстоўваюць, як правіла, толькі ў самай крытычнай частцы сеткі (ядро), а PBR выкарыстоўваюць на асобных маршрутызатарах без магчымасці сфармаваць нейкую адзіную PBR палітыку на ўсёй сетцы. Відавочна, гэта дакранаецца і сетак на базе DMVPN.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

SD-WAN у гэтым плане прапануе значна больш элегантнае рашэнне, якое не толькі лёгка наладжваецца, але і значна лепш маштабуецца. Гэта з'яўляецца вынікам выкарыстоўваных архітэктур control-plane і policy-plane. Рэалізацыя policy-plane у SD-WAN дазваляе цэнтралізавана вызначыць палітыку TE - які трафік цікавіць? для якіх VPN? праз якія вузлы/тунэлі неабходна ці наадварот забаронена фармаваць альтэрнатыўны маршрут? У сваю чаргу цэнтралізацыя кіравання control-plane на базе vSmart кантролераў дазваляе мадыфікаваць вынікі маршрутызацыі, не звяртаючыся да налад асобных прылад – маршрутызатары ўжо бачаць толькі вынік той логікі, якая была сфарміравана ў інтэрфейсе vManage і перададзена для прымянення на vSmart.

Service-chaining (Сэрвісныя ланцужкі)

Фарміраванне сэрвісных ланцужкоў яшчэ больш працаёмкая задача ў класічнай маршрутызацыі, чым ужо апісаны механізм Traffic-Engineering. Бо ў гэтым выпадку неабходна не толькі сфарміраваць нейкі спецыяльны маршрут для вызначанага сеткавага прыкладання, але і забяспечыць магчымасць вываду трафіку з сеткі на пэўных (або на ўсіх) вузлах SD-WAN сеткі для апрацоўкі спецыяльным дадаткам або сэрвісам (МСЭ, Балансіроўка, Кэшаванне, Інспекцыя трафіку і да т.п.). Пры гэтым неабходна мець магчымасць кантраляваць стан гэтых вонкавых сэрвісаў, каб не дапушчаць сітуацый black-holing, а таксама патрэбныя механізмы якія дазваляюць размяшчаць такія аднатыпныя вонкавыя сэрвісы ў розных гео-лакацыях з магчымасцю сеткі аўтаматычна выбіраць найболей аптымальны сэрвісны вузел для апрацоўкі трафіку той ці іншай філіяла . У выпадку Cisco SD-WAN гэта досыць лёгка дасягнуць, стварыўшы адпаведную цэнтралізаваную палітыку, якая "склеіць" усе аспекты мэтавага сэрвіснага ланцужка ў адзінае цэлае і аўтаматычна зменіць логіку data-plane і control-plane толькі там і тады, дзе гэта неабходна.

Ці адпілуе Cisco SD-WAN сук, на якім сядзіць DMVPN?

Здольнасць сфармаваць гео-размеркаваную апрацоўку трафіку абраных выглядаў прыкладанняў у вызначанай паслядоўнасці на спецыялізаваным (але не мелым адносіны да самой сеткі SD-WAN) абсталяванні – гэта, мабыць, найболей навочная дэманстрацыя пераваг Cisco SD-WAN над класічнымі тэхналогіямі і нават некаторымі альтэрнатыўнымі рашэннямі SD -WAN іншых вытворцаў.

Што ў выніку?

Відавочна, што і DMVPN (сумесна ці без Performance Routing) і Cisco SD-WAN вырашаюць у канчатковым выніку вельмі падобныя задачы у адносінах да размеркаванай WAN сеткі арганізацыі. Пры гэтым істотныя архітэктурныя і функцыянальныя адрозненні тэхналогіі Cisco SD-WAN выводзяць працэс рашэння гэтых задач на іншы якасны ўзровень. Рэзюмуючы, можна адзначыць наступныя значныя адрозненні тэхналогій SD-WAN і DMVPN/PfR:

  • DMVPN / PfR у цэлым выкарыстоўваюць правераныя часам тэхналогіі пабудовы накладзеных VPN сетак і ў частцы data-plane падобныя з больш сучаснай SD-WAN тэхналогіяй, пры гэтым ёсць шэраг абмежаванняў у асобе абавязковай статычнай канфігурацыі маршрутызатараў і выбар тапалогій абмежаваны Hub-n-Spoke. З іншага боку, у DMVPN / PfR ёсць некаторыя функцыянальныя магчымасці, якія пакуль недаступныя ў рамках SD-WAN (гаворка аб per-application BFD).
  • У рамках control-plane тэхналогіі адрозніваюцца прынцыпова. З улікам цэнтралізаванай апрацоўкі сігнальных пратаколаў SD-WAN дазваляе, у прыватнасці, значна звузіць дамены адмовы і "развязаць" працэс перадачы карыстацкага трафіку ад сігнальнага ўзаемадзеяння – часавая недаступнасць кантролераў не ўплывае на магчымасць перадачы карыстацкага трафіку. У той жа час часавая недаступнасць які-небудзь філіяла (у тым ліку цэнтральнага) ніяк не ўплывае магчымасць астатніх філіялаў узаемадзейнічаць сябар з сябрам і кантролерамі.
  • Архітэктура фармавання і ўжыванні палітык кіравання трафікам у выпадку SD-WAN таксама пераўзыходзіць такую ​​ў DMVPN/PfR – значна лепш рэалізавана геа-рэзерваванне, няма прывязкі да Hub, больш магчымасцяў па тонкай налады палітык, спіс рэалізуемых сцэнараў кіравання трафікам таксама значна больш.
  • Працэс аркестрацыі рашэння таксама значна адрозніваецца. DMVPN мяркуе наяўнасць загадзя вядомых параметраў, якія павінны быць нейкім чынам адлюстраваны ў канфігурацыі, што некалькі абмяжоўвае гнуткасць рашэння і магчымасць дынамічных змен. У сваю чаргу SD-WAN зыходзіць з парадыгмы, што ў пачатковы момант часу падлучэння маршрутызатар "не ведае нічога" аб сваіх кантролерах, але ведае "у каго можна спытаць" - гэтага дастаткова не толькі для аўтаматычнага ўстанаўлення сувязі з кантролерамі, але і для аўтаматычнага фармавання досыць сувязны data-plane тапалогіі, якую затым можна гнутка наладзіць/змяніць з дапамогай палітык.
  • У часткі цэнтралізаванага кіравання, аўтаматызацыі і маніторынгу SD-WAN чакана пераўзыходзіць магчымасці DMVPN/PfR, якія сталі вынікам развіцця класічных тэхналогій і ў большай ступені належаць на камандны радок CLI і ўжыванне сістэм NMS на аснове шаблонаў.
  • У SD-WAN у параўнанні з DMVPN патрабаванні бяспекі выйшлі на іншы якасны ўзровень. Галоўныя прынцыпы - нулявое давер, маштабаванасць і двухфактарная аўтэнтыфікацыя.

З гэтых нескладаных высноў можа скласціся няправільнае ўражанне, што стварэнне сеткі на базе DMVPN/PfR страціла сёння ўсякую актуальнасць. Гэта, вядома, не зусім так. Напрыклад, у выпадках, калі на сеткі выкарыстоўваецца мноства састарэлага абсталявання і няма магчымасці яго замяніць, DMVPN можа дазволіць аб'яднаць "старыя" і "новыя" прылады ў адзіную гео-размеркаваную сетку з вялікай колькасцю апісаных вышэй пераваг.

З іншага боку варта памятаць, што Усе актуальныя карпаратыўныя маршрутызатары Cisco на базе IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) сёння падтрымліваюць любы рэжым працы - і класічную маршрутызацыю і DMVPN і SD-WAN - выбар вызначаецца бягучымі запатрабаваннямі і разуменнем, што ў любы момант на тым жа самым абсталяванні можна пачаць рухацца ў бок больш прасунутай тэхналогіі.

Крыніца: habr.com

Дадаць каментар