🥇Ще отреже ли Cisco SD-WAN клона, на който седи DMVPN?

От август 2017 г., когато Cisco придоби Viptela, основното технологично предложение за корпоративни разпределени мрежи е Cisco SD-WAN. През последните 3 години технологията SD-WAN претърпя много промени, както качествени, така и количествени. Така че функционалността значително се разшири и се появи поддръжка на класическите рутери от серията Cisco ISR 1000, ISR 4000, ASR 1000 и Virtual CSR 1000v. В същото време много клиенти и партньори на Cisco продължават да се чудят - каква е разликата между Cisco SD-WAN и вече познатите подходи, базирани на технологии като напр Cisco DMVPN и Cisco Performance Routing И колко важни са тези разлики?

Тук веднага трябва да направим уговорка, че преди появата на SD-WAN в портфолиото на Cisco, DMVPN, заедно с PfR, представляваше ключова част в архитектурата Cisco IWAN (Интелигентна WAN), който от своя страна беше предшественик на пълноценната SD-WAN технология. С обща прилика, както на самите задачи, така и на методите за решаването им, IWAN не получи нивото на автоматизация, гъвкавост и мащабируемост, необходими за SD-WAN, и с течение на времето развитието на IWAN значително намаля. В същото време технологиите, които съставляват IWAN, не са изчезнали и много клиенти продължават да ги използват успешно, включително на модерно оборудване. В резултат на това се разви интересна ситуация - същото оборудване на Cisco ви позволява да изберете най-подходящата технология за изграждане на WAN (класически, DMVPN + PfR или SD-WAN) в съответствие с изискванията и очакванията на клиентите.

Статията няма за цел да анализира подробно всички характеристики на технологиите Cisco SD-WAN и DMVPN (със или без Performance Routing) - за това има огромен брой документи и материали. Основната задача е да се опитаме да оценим основните разлики между тези технологии. Но все пак, преди да преминем към обсъждането на тези разлики, нека накратко припомним самите технологии.

Какво е Cisco DMVPN и защо е необходим?

Cisco DMVPN решава проблема с динамичното (= мащабируемо) свързване на отдалечена клонова мрежа към мрежа на корпоративния централен офис, използвайки произволни типове комуникационни канали, включително интернет (= с криптиране на комуникационния канал). Технически това се реализира чрез създаване на виртуализирана наслагваща се мрежа от клас L3 VPN в режим точка-много точки с логическа топология от тип Star (Hub-n-Spoke). За да направи това, DMVPN използва комбинация от следните технологии:

IP маршрутизиране
Многоточкови GRE тунели (mGRE)
Протокол за разрешаване на следващ скок (NHRP)
IPSec крипто профили

Какви са основните предимства на Cisco DMVPN в сравнение с класическото маршрутизиране, използващо MPLS VPN канали?

За създаване на междуклонова мрежа е възможно да се използват всякакви комуникационни канали - всичко, което може да осигури IP свързаност между клоновете, е подходящо, докато трафикът ще бъде криптиран (където е необходимо) и балансиран (където е възможно)
Автоматично се формира напълно свързана топология между клоновете. В същото време между централните и отдалечените клонове - статични тунели, а между отдалечените клонове - динамични тунели при поискване (ако има трафик)
Централните и отдалечените клонови рутери имат еднаква конфигурация до IP адресите на интерфейсите. Чрез използването на mGRE няма нужда да конфигурирате индивидуално десетки, стотици или дори хиляди тунели. В резултат на това прилична мащабируемост с правилния дизайн.

Какво е Cisco Performance Routing и защо е необходимо?

Когато използвате DMVPN в междуклонова мрежа, един изключително важен въпрос остава неразрешен - как динамично да оценим състоянието на всеки от DMVPN тунелите за съответствие с изискванията на трафика, който е критичен за нашата организация и, отново, въз основа на тази оценка, динамично вземете решение за пренасочване? Факт е, че DMVPN в тази част не се различава много от класическото маршрутизиране - най-доброто, което можете да направите, е да настроите QoS механизми, които ще ви позволят да приоритизирате трафика в изходящата посока, но по никакъв начин не могат да вземат предвид състояние на целия път в един или друг момент.

И какво да правим, ако каналът се влоши частично, а не напълно - как да го открием и оценим? Самият DMVPN не знае как да направи това. Като се има предвид, че каналите, свързващи клоновете, могат да преминават през напълно различни телекомуникационни оператори, използвайки напълно различни технологии, тази задача става изключително нетривиална. И тук на помощ идва технологията Cisco Performance Routing, която по това време вече е преминала няколко етапа на развитие.

Задачата на Cisco Performance Routing (наричано по-нататък PfR) е да измерва състоянието на пътищата (тунелите) на трафик въз основа на ключови показатели, които са важни за мрежовите приложения - забавяне, вариация на забавянето (трептене) и загуба на пакети (процент). Освен това може да се измери използваната честотна лента. Тези измервания се извършват възможно най-близо до реално време (доколкото е възможно и оправдано) и резултатът от тези измервания позволява на рутера, използващ PfR, динамично да взема решения относно необходимостта от промяна на маршрутизирането на определен тип трафик.

По този начин задачата на комбинацията DMVPN/PfR може да се характеризира накратко, както следва:

Позволете на клиента да използва всякакви комуникационни канали в WAN мрежата
Осигурете възможно най-високо качество на критичните приложения на тези канали

Какво е Cisco SD-WAN?

Cisco SD-WAN е технология, която използва SDN подхода за изграждане и управление на WAN на организация. По-специално, това означава използването на така наречените контролери (софтуерни елементи), които осигуряват централизирана оркестрация и автоматизирана конфигурация на всички компоненти на решението. За разлика от каноничния SDN (Clean Slate style), Cisco SD-WAN използва няколко типа контролери наведнъж, всеки от които изпълнява своя собствена роля - това се прави умишлено, за да се осигури по-добра скалируемост и гео-излишък.

В случая на SD-WAN задачата за използване на всякакъв тип връзки и поддръжка на бизнес приложения остава, но в същото време се разширяват изискванията за автоматизация, мащабиране, сигурност и гъвкавост на такава мрежа.

Обсъждане на различията

Ако сега започнем да анализираме разликите между тези технологии, те ще попаднат в една от категориите:

Архитектурни разлики - как се разпределят функциите между различните компоненти на решението, как е организирано взаимодействието на тези компоненти и как това се отразява на възможностите и гъвкавостта на технологията?
Функционалност - какво може една технология, което друга не може? И наистина ли е толкова важно?

Какви са архитектурните разлики и важни ли са те?

Във всяка от посочените технологии има много „движещи се части“, които се различават не само по своята роля, но и по принципите на взаимодействие помежду си. Доколко обмислени са тези принципи и общата механика на решението пряко влияе върху неговата мащабируемост, устойчивост на грешки и цялостна ефективност.

Разгледайте по-подробно различните аспекти на архитектурата:

равнина на данни - част от решението, отговорно за прехвърлянето на потребителски трафик между източника и получателя. В DMVPN и SD-WAN обикновено се прилага по същия начин на самите рутери, базирани на многоточкови GRE тунели. Разликата се състои в това как се формира необходимият набор от параметри за тези тунели:

в DMVPN/PfR е изключително двустепенна йерархия от възли с топология Star или Hub-n-Spoke. Необходима е статична конфигурация на Hub и статично свързване на Spoke към Hub, както и взаимодействие чрез протокола NHRP за формиране на свързаност на равнина на данни. Следователно, промените в Hub са значително по-труднисвързани, например, с промяна / свързване на нови WAN канали или промяна на параметрите на съществуващи.
в SD WAN е напълно динамичен модел за откриване на параметрите на установени тунели, базирани на контролна равнина (OMP протокол) и оркестрационна равнина (взаимодействие с контролера vBond за откриване на контролер и задачи за преминаване на NAT). В същото време насложените топологии могат да бъдат всякакви, включително йерархични. В рамките на установената топология на наслагване на тунели е възможна гъвкава конфигурация на логическата топология във всяка отделна VPN (VRF).

Контролен самолет – функции за обмен, филтриране и модифициране на маршрутизация и друга информация между компонентите на решението.

в DMVPN/PfR – извършва се само между Hub и Spoke рутери. Не е възможен директен обмен на информация за маршрутизиране между Spoke. Следователно, без функциониращ хъб контролната равнина и равнината на данните не могат да функционират, което налага допълнителни изисквания за висока наличност на Hub, които не винаги могат да бъдат изпълнени.
в SD WAN – контролната равнина никога не се осъществява директно между рутери – взаимодействието се основава на OMP протокола и задължително се осъществява чрез отделен специализиран тип vSmart контролер, който осигурява възможност за балансиране, гео-редундантност и централизиран контрол на натоварването на сигнала . Друга особеност на протокола OMP е неговата значителна устойчивост на загуби и независимост от скоростта на комуникационния канал с контролерите (разбира се, в разумни граници). Което също толкова успешно ви позволява да поставите SD-WAN контролери в публични или частни облаци с достъп през интернет.

политика-равнина - част от решението, отговорно за дефиниране, разпространение и прилагане на политики за контрол на трафика в разпределена мрежа.

DMVPN – ефективно ограничено до политики за качество на услугата (QoS), конфигурирани индивидуално на всеки рутер чрез CLI или шаблони на основна инфраструктура.
DMVPN/PfR – Политиките за PfR се формират на централизирания главен контролер (MC) рутер чрез CLI и след това автоматично се разпространяват към клоновите MC. В този случай се използват същите пътища за прехвърляне на политики като за равнината на данни. Няма начин да се раздели обменът на политики, информация за маршрутизиране и потребителски данни. Разпространението на правилата изисква IP свързаност между Hub и Spoke. В този случай функцията MC може да се комбинира с DMVPN рутер, ако е необходимо. Възможно е (но не е задължително) да се използват шаблони на основна инфраструктура за централизирано генериране на политики. Важна характеристика е, че политиката се формира глобално в цялата мрежа по един и същи начин - не се поддържат отделни политики за отделни сегменти.
SD WAN – политиките за управление на трафика и качеството на услугата се определят централизирано чрез графичния интерфейс Cisco vManage, който е достъпен и през Интернет (при необходимост). Разпространява се чрез сигнални канали директно или индиректно чрез vSmart контролери (в зависимост от типа политика). Не зависете от свързаността на равнината на данни между рутерите, защото използвайте всички налични пътища за трафик между контролера и рутера.
За различните мрежови сегменти е възможно гъвкаво формиране на различни политики - обхватът на политиката се определя от набора от уникални идентификатори, предоставени в решението - номер на клон, тип приложение, посока на трафик и др.

оркестрация-равнина - механизми, които позволяват на компонентите динамично да се откриват един друг, да конфигурират и координират последващо взаимодействие.

в DMVPN/PfR Взаимното откриване от рутери се основава на статичната конфигурация на устройствата Hub и съответната конфигурация на устройствата Spoke. Динамичното откриване се извършва само за Spoke, който комуникира своите параметри на връзка към устройството Hub, което от своя страна е предварително конфигурирано от Spoke. Без IP свързаност на Spoke с поне един концентратор е невъзможно да се формира нито равнина на данни, нито контролна равнина.
в SD WAN компонентите на решението се управляват с помощта на vBond контролер, с който всеки компонент (рутери и vManage/vSmart контролери) трябва първо да установи IP свързаност.
Първоначално компонентите не знаят за параметрите на връзката един на друг - за това те се нуждаят от междинен оркестратор vBond. Общият принцип е следният - в началната фаза всеки компонент научава (автоматично или статично) само за параметрите на връзката към vBond, след което vBond информира рутера за контролерите vManage и vSmart (открити по-рано), което прави възможно автоматичното установете всички необходими сигнални връзки.

Следващата стъпка е новият рутер да научи за останалите рутери в мрежата чрез OMP обмен с vSmart контролера. По този начин рутерът, който първоначално не знае нищо за параметрите на мрежата, е в състояние напълно автоматично да открие и да се свърже с контролерите, а след това автоматично да открие и формира връзка с други рутери. В същото време параметрите на свързване на всички компоненти първоначално са неизвестни и могат да се променят по време на работа.

равнина на управление - част от решението, което осигурява централизирано управление и наблюдение.

DMVPN/PfR – не се предоставя специализирано решение за равнина на управление. За основна автоматизация и мониторинг могат да се използват продукти като Cisco Prime Infrastructure. Всеки рутер има възможност за управление чрез CLI командния ред. Не е предвидена интеграция с външни системи чрез API.
SD WAN - цялото редовно взаимодействие и наблюдение се извършват централно чрез графичния интерфейс на vManage контролера. Всички функции на решението, без изключение, са достъпни за конфигуриране чрез vManage, както и чрез напълно документирана REST API библиотека.
Всички SD-WAN мрежови настройки във vManage се свеждат до две основни конструкции - формиране на шаблони на устройства (Device Template) и формиране на политика, която определя логиката на мрежата и обработката на трафика. В същото време vManage, излъчвайки политиката, формирана от администратора, автоматично избира кои промени и на кои отделни устройства / контролери трябва да бъдат направени, което значително повишава ефективността и скалируемостта на решението.

Чрез интерфейса vManage е достъпна не само конфигурацията на Cisco SD-WAN решението, но и пълен мониторинг на състоянието на всички компоненти на решението до текущото състояние на метриките на отделните тунели и статистика за използването на различни приложения, базирани на DPI анализ.

Въпреки централизирането на взаимодействието, всички компоненти (контролери и рутери) имат и напълно функционален CLI команден ред, който е необходим по време на фазата на внедряване или в случай на авария за локална диагностика. В нормален режим (ако има сигнален канал между компонентите) на рутери, командният ред е достъпен само за диагностика и не е достъпен за извършване на локални промени, което гарантира както локална сигурност, така и единствения източник на промени в такава мрежа - vManage .

Интегрирана сигурност - тук трябва да говорим не само за защитата на потребителските данни по време на предаване по отворени канали, но и за цялостната сигурност на WAN мрежата, базирана на избраната технология.

в DMVPN/PfR възможно е криптиране на потребителски данни и протоколи за сигнализиране. При използване на определени модели рутери допълнително се предлагат функции на защитна стена с проверка на трафика, IPS / IDS. Възможно е сегментиране на клонови мрежи с помощта на VRF. Възможно е удостоверяване на (еднофакторни) контролни протоколи.
В този случай по подразбиране отдалеченият рутер се счита за доверен елемент на мрежата - т.е. случаите на физически компромет на отделни устройства и възможността за неоторизиран достъп до тях не се предполагат и не се вземат предвид, няма двуфакторна автентификация на компонентите на решението, която в случай на географски разпределена мрежа може да носи значителни допълнителни рискове.
в SD WAN по аналогия с DMVPN е възможно да се криптират потребителски данни, но със значително разширени функции за мрежова сигурност и L3 / VRF сегментиране (ITU, IPS / IDS, URL филтриране, DNS филтриране, AMP / TG, SASE, TLS / SSL прокси и т.н. .). г.). В същото време обменът на ключове за криптиране се извършва по-ефективно чрез vSmart контролери (вместо директно), чрез предварително установени сигнални канали, защитени от DTLS / TLS криптиране въз основа на сертификати за сигурност. Което от своя страна гарантира сигурността на подобен обмен и осигурява по-добра скалируемост на решението до десетки хиляди устройства в една мрежа.
Всички сигнални връзки (контролер-контролер, контролер-рутер) също са защитени въз основа на DTLS/TLS. Рутерите са оборудвани със сертификати за безопасност по време на производство с възможност за подмяна / подновяване. Двуфакторната автентификация се постига благодарение на задължителното и едновременно изпълнение на две условия за функциониране на рутера/контролера в SD-WAN мрежата:
- Валиден сертификат за сигурност
- Явно и съзнателно включване от администратора на всеки компонент в "белия" списък на разрешените устройства.

Функционални разлики между SD-WAN и DMVPN/PfR

Обръщайки се към обсъждането на функционалните разлики, трябва да се отбележи, че много от тях са продължение на архитектурните - не е тайна, че когато формират архитектурата на решение, разработчиците започват от функциите, които искат да получат в крайна сметка. Помислете за най-съществените разлики между двете технологии.

AppQ (Application Quality) - функции за осигуряване на качеството на предаване на трафика на бизнес приложенията

Основните характеристики на разглежданите технологии са насочени към подобряване на потребителското изживяване, доколкото е възможно, при използване на критични за бизнеса приложения в разпределена мрежа. Това е особено важно в условия, когато част от инфраструктурата не се контролира от ИТ или дори не гарантира успешен трансфер на данни.

DMVPN не предоставя такива механизми самостоятелно. Най-доброто нещо, което може да се направи в класическа DMVPN мрежа, е да се класифицира изходящият трафик по приложение и да се приоритизира по посока на WAN връзката. Изборът на DMVPN тунел в този случай се определя само от неговата наличност и резултата от работата на протоколите за маршрутизиране. Това не взема предвид състоянието от край до край на пътя/тунела и неговата възможна частична деградация по отношение на ключови показатели, които са значими за мрежовите приложения - забавяне, вариация на забавянето (трептене) и загуба (%). В това отношение директното сравняване на класически DMVPN с SD-WAN по отношение на решаването на AppQ задачи няма смисъл - DMVPN не може да реши този проблем. Когато технологията Cisco Performance Routing (PfR) се добави към този контекст, ситуацията се променя и сравнението с Cisco SD-WAN става по-подходящо.

Преди да преминете към обсъждане на разликите, кратко резюме на сходството на технологиите. И така, и двете технологии:

имат механизъм, който ви позволява динамично да оценявате състоянието на всеки установен тунел в контекста на определени показатели - най-малко забавяне, вариация на забавянето и загуба на пакети (%)
използват определен набор от инструменти за формиране, разпространение и прилагане на правила (политики) за контрол на трафика, като вземат предвид резултата от измерване на състоянието на ключовите показатели на тунела.
класифицира трафика на приложенията на нива L3-L4 (DSCP) на модела OSI или чрез сигнатури на приложения L7 въз основа на DPI механизмите, вградени в рутера
позволяват на значими приложения да определят приемливи прагови стойности на показатели, правила за предаване на трафик по подразбиране, правила за пренасочване на трафика, когато праговите стойности са надвишени.
когато капсулират трафик в GRE / IPSec, те използват установения в индустрията механизъм за прехвърляне на вътрешни DSCP маркировки към външния хедър на GRE / IPSEC пакет, което ви позволява да синхронизирате политиките за QoS на организацията и телекомуникационния оператор (ако има подходящ SLA).

Как се различават механизмите за оценка на показателите от край до край на SD-WAN и DMVPN/PfR?

DMVPN/PfR

Както активните, така и пасивните софтуерни сензори (сонди) се използват за оценка на стандартните показатели за здравето на тунела. Активен - въз основа на потребителски трафик, пасивният емулира такъв трафик (ако липсва).
Няма фина настройка на таймерите и условията за откриване на влошаване – алгоритъмът е фиксиран.
Освен това е налично измерване на използваната честотна лента в изходящата посока. Това добавя DMVPN/PfR допълнителна гъвкавост при управление на трафика.
В същото време някои PfR механизми, когато показателите са надвишени, разчитат на обратна сигнализация под формата на специални TCA (Threshold Crossing Alert) съобщения, които трябва да идват от получателя на трафика към източника, което от своя страна предполага, че състоянието на измерените канали трябва да са поне достатъчни за предаване на такива TCA съобщения. Което в повечето случаи не е проблем, но очевидно не може да бъде гарантирано.

SD WAN

За оценка от край до край на стандартните показатели за състоянието на тунела се използва протоколът BFD в режим на ехо. В този случай не е необходима специална обратна връзка под формата на TCA или подобни съобщения - наблюдава се изолирането на домейни за грешки. Освен това не изисква наличието на потребителски трафик, за да се оцени състоянието на тунела.
Възможно е да се настроят фино таймерите на BFD, за да се контролира скоростта на работа и чувствителността на алгоритъма към влошаване на комуникационния канал от няколко секунди до минути.
Към момента на писане на тази статия във всеки от тунелите е предоставена само една BFD сесия. Това потенциално създава по-малка детайлност при анализиране на състоянието на тунела. Всъщност това може да се превърне в ограничение само в случай на използване на WAN връзка, базирана на MPLS L2 / L3 VPN с договорен QoS SLA - ако DSCP маркировката на BFD трафик (след капсулиране в IPSec / GRE) съответства на опашката с висок приоритет в мрежата на оператора, тогава това може да повлияе на точността и скоростта на откриване на влошаване за трафик с нисък приоритет. В същото време е възможно да промените маркирането на BFD по подразбиране, за да намалите риска от подобни ситуации. В бъдещите издания на софтуера Cisco SD-WAN се очаква по-фина настройка на BFD, както и възможност за стартиране на множество BFD сесии в рамките на един и същ тунел с индивидуални DSCP стойности (за различни приложения).
BFD допълнително ви позволява да оцените максималния размер на пакета, който може да бъде предаден през определен тунел без фрагментация. Това позволява на SD-WAN динамично да коригира настройки като MTU и TCP MSS Adjust, за да използва най-ефективно наличната честотна лента на всяка връзка.
В SD-WAN е налична и опцията за синхронизиране на QoS с телекомуникационните оператори, не само въз основа на L3 DSCP полето, но и въз основа на L2 CoS стойности, които могат да бъдат автоматично генерирани в клоновата мрежа от специализирани устройства - напр. , IP телефони

Как се различават възможностите, начините за дефиниране и прилагане на AppQ политики?

Правила за DMVPN/PfR:

Те се дефинират на маршрутизатора(ите) на централния клон (CF) чрез CLI командния ред или CLI конфигурационните шаблони. Генерирането на CLI шаблони изисква подготовка и познаване на синтаксиса на правилата.
Дефиниран глобално без възможност за индивидуална настройка/промяна спрямо изискванията на отделните мрежови сегменти.
Не е предвидено генериране на интерактивна политика в графичния интерфейс.
Не е осигурено проследяване на промени, наследяване, създаване на множество версии на политики за бързо превключване.
Разпределя се автоматично към рутерите на отдалечени клонове. В този случай се използват същите комуникационни канали като за предаване на потребителски данни. Ако няма комуникационен канал между централния и отдалечения клон, разпространението/промяната на политиките не е възможно.
Те се прилагат на всеки рутер и при необходимост модифицират резултата от стандартните протоколи за маршрутизиране с по-висок приоритет.
За случаите, когато всички клонови WAN връзки изпитват значителна загуба на трафик, не са предвидени компенсационни механизми.

Правила за SD-WAN:

Дефинирано във vManage GUI чрез интерактивен съветник за шаблони.
Поддържа създаването на множество политики, копиране, наследяване, превключване между политики в реално време.
Поддръжка на индивидуални настройки на правилата за различни сегменти (клонове) на мрежата
Те се разпространяват чрез всеки наличен канал за сигнализиране между контролера и рутера и/или vSmart - те не зависят пряко от свързаността на равнината на данни между рутерите. Това разбира се изисква IP свързаност между самия рутер и контролерите.
За случаите, когато всички налични разклонителни канали изпитват значителна загуба на данни, надвишаваща допустимите прагове за критични приложения, е възможно да се използват допълнителни механизми, които повишават надеждността на предаване:
- FEC (напредна корекция на грешки) – използва специален алгоритъм за излишно кодиране. При предаване на критичен трафик по канали със значителен процент загуби, FEC може да се активира автоматично и ви позволява да възстановите изгубената част от данните, ако е необходимо. Това леко увеличава използваемата честотна лента на предаване, но значително подобрява надеждността.
- Дублиране на потоци от данни – В допълнение към FEC, политиката може да предвижда автоматично дублиране на трафика на избраното приложение в случай на още по-високо ниво на загуба, което FEC не може да компенсира. В този случай избраните данни ще бъдат предадени през всички тунели към приемащия клон с последващо премахване на дублиране (изхвърляне на допълнителни копия на пакети). Механизмът забележимо увеличава използването на каналите, но също така значително повишава надеждността на предаването.

Възможности на Cisco SD-WAN, без директни аналози в DMVPN/PfR

Архитектурата на решението Cisco SD-WAN в някои случаи ви позволява да получите функции, които са изключително трудни за внедряване в рамките на DMVPN / PfR, или непрактични поради необходимите разходи за труд, или дори невъзможни. Помислете за най-интересните от тях:

Трафик Инженеринг (TE)

TE включва механизми, които позволяват на трафика да се разклони от стандартния път, образуван от протоколите за маршрутизиране. TE често се използва за осигуряване на висока наличност на мрежови услуги, като е в състояние бързо и/или проактивно да прехвърли важен трафик към алтернативен (неприпокриващ се) път на предаване, за да осигури по-добро качество на услугата или скорост на възстановяване в случай на провал на главния път.

Сложността на внедряването на TE се състои в необходимостта предварително да се изчисли и резервира (провери) алтернативен път. В MPLS мрежите на телекомуникационните оператори този проблем се решава с помощта на технологии като MPLS Traffic-Engineering с разширения на IGP протоколите и RSVP протокола. Също така напоследък технологията за сегментно маршрутизиране, която е по-оптимизирана за централизирана конфигурация и оркестрация, набира все по-голяма популярност. В класическите WAN мрежи тези технологии обикновено не са представени или са сведени до използването на механизми hop-by-hop като маршрутизиране, базирано на правила (PBR), които са в състояние да подслушват трафика, но прилагат това на всеки рутер поотделно - без оглед на цялостното състояние на мрежата или резултата от PBR в предишните или следващите стъпки. Резултатът от използването на тези TE опции е разочароващ - MPLS TE, поради сложността на конфигурацията и работата, обикновено се използва само в най-критичната част на мрежата (ядрото), а PBR се използва на отделни рутери без възможност за формиране някаква единна PBR политика в цялата мрежа. Очевидно това важи и за мрежи, базирани на DMVPN.

SD-WAN в това отношение предлага много по-елегантно решение, което не само е лесно за конфигуриране, но и се мащабира много по-добре. Това е резултат от използваните архитектури на контролна равнина и политическа равнина. Изпълнението на равнината на политиката в SD-WAN ви позволява централно да дефинирате политиката на TE - какъв вид трафик представлява интерес? за кои VPN? през кои възли/тунели е необходимо или обратно забранено да се образува алтернативен маршрут? На свой ред централизацията на управлението на контролна равнина, базирана на контролери vSmart, ви позволява да променяте резултатите от маршрутизирането, без да прибягвате до настройките на отделните устройства - рутерите вече виждат само резултата от логиката, която е генерирана в интерфейса vManage и прехвърлена за използване на vSmart.

Верижно свързване на услуги (вериги на услуги)

Формирането на сервизни вериги е още по-отнемаща време задача при класическото маршрутизиране, отколкото вече описания механизъм за трафик-инженеринг. Всъщност в този случай е необходимо не само да се формира определен специален маршрут за конкретно мрежово приложение, но и да се осигури възможност за извеждане на трафик от мрежата на определени (или всички) възли на SD-WAN мрежата за обработка чрез специално приложение или услуга (ITU, балансиране, кеширане, проверка на трафика и др.). В същото време е необходимо да можем да контролираме състоянието на тези външни услуги, за да предотвратим ситуации на черни дупки, и също така се нуждаем от механизми, които позволяват поставянето на такива външни услуги от същия тип в различни геолокации с способност на мрежата автоматично да избира най-оптималния сервизен възел за обработка на трафика на даден клон. В случая на Cisco SD-WAN, това е доста лесно да се постигне чрез създаване на подходяща централизирана политика, която "залепва" всички аспекти на веригата на целевата услуга в едно цяло и автоматично променя логиката на равнината на данни и равнината на управление само където и когато е необходимо.

Възможността за формиране на гео-разпределена обработка на трафик за избрани типове приложения в определена последователност на специализирано (но несвързано със самата SD-WAN мрежа) оборудване е може би най-ясната демонстрация на предимствата на Cisco SD-WAN пред класическата технологии и дори някои алтернативни SD решения - WAN на други производители.

Какъв е резултатът?

Очевидно както DMVPN (със или без Performance Routing), така и Cisco SD-WAN в крайна сметка решава много подобни проблеми по отношение на разпределена WAN мрежа на организация. В същото време значителните архитектурни и функционални разлики в технологията Cisco SD-WAN извеждат процеса на решаване на тези проблеми. на друго ниво на качество. Обобщавайки, могат да се отбележат следните значителни разлики между технологиите SD-WAN и DMVPN/PfR:

DMVPN/PfR обикновено използват изпитани във времето технологии за изграждане на VPN мрежи с наслагване и са сходни по отношение на равнината на данни с по-модерната SD-WAN технология, докато има редица ограничения в лицето на задължителната статична конфигурация на рутери и изборът на топологии е ограничен до Hub-n-Spoke. От друга страна, DMVPN / PfR има някои функции, които все още не са налични в SD-WAN (говорим за BFD за всяко приложение).
В рамките на контролната равнина технологиите се различават фундаментално. Като се има предвид централизираната обработка на протоколите за сигнализиране, SD-WAN позволява по-специално значително стесняване на домейните на повреда и „отделяне“ на процеса на прехвърляне на потребителския трафик от взаимодействието на сигнализирането - временната липса на контролери не засяга възможността за прехвърляне потребителски трафик. В същото време временната липса на който и да е клон (включително централния) не засяга способността на други клонове да взаимодействат помежду си и с контролерите.
Архитектурата за генериране и прилагане на политики за контрол на трафика в случая на SD-WAN също надминава тази в DMVPN / PfR - гео-резервацията е реализирана много по-добре, няма връзка с Hub, повече опции за фина настройка на политиките, списъкът изпълнените сценарии за контрол на трафика също е много по-голям.
Процесът на оркестрация на решението също е значително различен. DMVPN предполага наличието на предварително известни параметри, които трябва по някакъв начин да бъдат отразени в конфигурацията, което донякъде ограничава гъвкавостта на решението и възможността за динамични промени. На свой ред SD-WAN изхожда от парадигмата, че в началния момент на свързване рутерът „не знае нищо“ за своите контролери, но знае „кого можете да попитате“ - това е достатъчно не само за автоматично установяване на комуникация с контролерите, но също и за автоматично формиране на напълно свързана топология на равнина на данни, която след това може да бъде гъвкаво конфигурирана/променена с помощта на политики.
По отношение на централизирано управление, автоматизация и мониторинг се очаква SD-WAN да надмине DMVPN/PfR, което е резултат от развитието на класическите технологии и разчита повече на CLI командния ред и използването на базирани на шаблони NMS системи.
В SD-WAN, в сравнение с DMVPN, изискванията за сигурност са достигнали различно ниво на качество. Основните принципи са нулево доверие, мащабируемост и двуфакторна автентификация.

От тези прости изводи може да се получи погрешно впечатление, че създаването на мрежа, базирана на DMVPN/PfR, днес е загубило всякакво значение. Това разбира се не е съвсем вярно. Например, в случаите, когато мрежата използва много остаряло оборудване и няма начин да го замените, DMVPN може да ви позволи да комбинирате „стари“ и „нови“ устройства в една гео-разпределена мрежа с много от описаните предимства по-горе.

От друга страна, трябва да се помни, че всички настоящи корпоративни рутери на Cisco, базирани на IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) днес поддържат всеки режим на работа - както класическо маршрутизиране, така и DMVPN и SD-WAN - изборът се определя от текущите нужди и разбирането, че по всяко време със същото оборудване можете да започнете да се движите към по-напреднали технологии.

Източник: www.habr.com

Ще отреже ли Cisco SD-WAN клона, на който седи DMVPN?