Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Od avgusta 2017. godine, kada je Cisco kupio Viptelu, glavna tehnologija koja se nudi za organizovanje distribuiranih poslovnih mreža postala je Cisco SD-WAN. Tokom protekle 3 godine, SD-WAN tehnologija je prošla kroz mnoge promjene, kako kvalitativne tako i kvantitativne. Tako je funkcionalnost značajno proširena i podrška se pojavila na klasičnim ruterima serije Cisco ISR 1000, ISR 4000, ASR 1000 i Virtual CSR 1000v. U isto vrijeme, mnogi Cisco klijenti i partneri se i dalje pitaju: koje su razlike između Cisco SD-WAN-a i već poznatih pristupa zasnovanih na tehnologijama kao npr Cisco DMVPN и Cisco Performance Routing i koliko su te razlike bitne?

Ovdje odmah trebamo napraviti rezervu da je prije pojave SD-WAN-a u Cisco portfelju, DMVPN zajedno sa PfR-om činio ključni dio arhitekture Cisco IWAN (inteligentni WAN), koji je zauzvrat bio prethodnik punopravne SD-WAN tehnologije. Uprkos opštoj sličnosti zadataka koji se rešavaju i metoda za njihovo rešavanje, IWAN nikada nije dobio nivo automatizacije, fleksibilnosti i skalabilnosti neophodan za SD-WAN, a vremenom se razvoj IWAN-a značajno smanjio. Istovremeno, tehnologije koje čine IWAN nisu nestale, a mnogi korisnici ih nastavljaju uspješno koristiti, uključujući i na modernoj opremi. Kao rezultat toga, nastala je zanimljiva situacija - ista Cisco oprema omogućava vam da odaberete najprikladniju WAN tehnologiju (klasična, DMVPN+PfR ili SD-WAN) u skladu sa zahtjevima i očekivanjima kupaca.

Članak nema namjeru da detaljno analizira sve karakteristike Cisco SD-WAN i DMVPN tehnologija (sa ili bez usmjeravanja performansi) - postoji ogromna količina dostupnih dokumenata i materijala za to. Glavni zadatak je pokušati procijeniti ključne razlike između ovih tehnologija. Ali prije nego što pređemo na diskusiju o ovim razlikama, prisjetimo se ukratko samih tehnologija.

Šta je Cisco DMVPN i zašto je potreban?

Cisco DMVPN rešava problem dinamičkog (= skalabilnog) povezivanja mreže udaljene filijale sa mrežom centralne kancelarije preduzeća kada se koriste proizvoljni tipovi komunikacionih kanala, uključujući i Internet (= sa šifrovanjem komunikacionog kanala). Tehnički, ovo se realizuje kreiranjem virtuelizovane preklapajuće mreže L3 VPN klase u režimu point-to-multipoint sa logičkom topologijom tipa “Star” (Hub-n-Spoke). Da bi to postigao, DMVPN koristi kombinaciju sljedećih tehnologija:

• IP rutiranje
• GRE tuneli sa više tačaka (mGRE)
• Next Hop Resolution Protocol (NHRP)
• IPSec Crypto profili

Koje su glavne prednosti Cisco DMVPN-a u odnosu na klasično rutiranje pomoću MPLS VPN kanala?

• Za kreiranje međugranske mreže moguće je koristiti bilo koje komunikacijske kanale - prikladno je sve što može pružiti IP konekciju između filijala, dok će promet biti šifriran (gdje je potrebno) i uravnotežen (gdje je to moguće)
• Potpuno povezana topologija između grana se automatski formira. U ovom slučaju postoje statički tuneli između centralne i udaljene grane, a dinamički tuneli na zahtjev između udaljenih grana (ako ima prometa)
• Ruteri centralne i udaljene grane imaju istu konfiguraciju do IP adresa interfejsa. Koristeći mGRE, nema potrebe da pojedinačno konfigurišete desetine, stotine ili čak hiljade tunela. Kao rezultat, pristojna skalabilnost sa pravim dizajnom.

Šta je Cisco Performance Routing i zašto je potrebno?

Prilikom korištenja DMVPN-a na međugranskoj mreži ostaje neriješeno jedno izuzetno važno pitanje – kako dinamički procijeniti stanje svakog od DMVPN tunela za usklađenost sa zahtjevima saobraćaja kritičnim za našu organizaciju i, opet, na osnovu takve procjene, dinamički napraviti odluka o preusmjeravanju? Činjenica je da se DMVPN u ovom dijelu malo razlikuje od klasičnog rutiranja - najbolje što se može učiniti je konfigurirati QoS mehanizme koji će vam omogućiti da odredite prioritet prometa u odlaznom smjeru, ali ni na koji način ne mogu uzeti u obzir stanje ceo put u jednom ili drugom trenutku.

A što učiniti ako se kanal razgradi djelomično, a ne potpuno - kako to otkriti i procijeniti? Sam DMVPN to ne može učiniti. S obzirom da kanali koji povezuju grane mogu prolaziti kroz potpuno različite telekom operatere, koristeći potpuno različite tehnologije, ovaj zadatak postaje krajnje netrivijalan. I tu u pomoć dolazi tehnologija Cisco Performance Routing, koja je do tada već prošla kroz nekoliko faza razvoja.

Zadatak Cisco Performance Routing (u daljem tekstu PfR) svodi se na mjerenje stanja puteva (tunela) prometa na osnovu ključnih metrika važnih za mrežne aplikacije - latencija, varijacija kašnjenja (jitter) i gubitak paketa (postotak). Dodatno, može se izmjeriti korišteni propusni opseg. Ova mjerenja se odvijaju što je moguće bliže realnom vremenu i opravdano, a rezultat ovih mjerenja omogućava ruteru koji koristi PfR da dinamički donosi odluke o potrebi promjene rutiranja ove ili one vrste saobraćaja.

Dakle, zadatak kombinacije DMVPN/PfR može se ukratko opisati na sljedeći način:

• Dozvolite korisniku da koristi bilo koje komunikacijske kanale na WAN mreži
• Osigurajte najviši mogući kvalitet kritičnih aplikacija na ovim kanalima

Šta je Cisco SD-WAN?

Cisco SD-WAN je tehnologija koja koristi SDN pristup za kreiranje i upravljanje WAN mrežom organizacije. To posebno znači korištenje tzv. kontrolera (softverskih elemenata), koji obezbjeđuju centraliziranu orkestraciju i automatiziranu konfiguraciju svih komponenti rješenja. Za razliku od kanonskog SDN-a (Clean Slate stil), Cisco SD-WAN koristi nekoliko tipova kontrolera, od kojih svaki obavlja svoju ulogu – to je učinjeno namerno kako bi se obezbedila bolja skalabilnost i geo-zališnost.

U slučaju SD-WAN-a, zadatak korištenja bilo koje vrste kanala i osiguravanja rada poslovnih aplikacija ostaje isti, ali se istovremeno povećavaju zahtjevi za automatizacijom, skalabilnost, sigurnost i fleksibilnost takve mreže.

Diskusija o razlikama

Ako sada počnemo analizirati razlike između ovih tehnologija, one će se svrstati u jednu od sljedećih kategorija:

• Arhitektonske razlike – kako su funkcije raspoređene na različite komponente rješenja, kako je organizirana interakcija takvih komponenti i kako to utiče na mogućnosti i fleksibilnost tehnologije?
• Funkcionalnost – šta jedna tehnologija može što druga ne može? I da li je to zaista toliko važno?

Koje su arhitektonske razlike i da li su važne?

Svaka od ovih tehnologija ima mnogo "pokretnih dijelova" koji se razlikuju ne samo po svojim ulogama, već i po načinu na koji međusobno djeluju. Koliko su dobro osmišljeni ovi principi i opća mehanika rješenja direktno određuju njegovu skalabilnost, toleranciju grešaka i ukupnu efikasnost.

Pogledajmo detaljnije različite aspekte arhitekture:

Data-plane – dio rješenja zadužen za prijenos korisničkog prometa između izvora i primatelja. DMVPN i SD-WAN se generalno identično implementiraju na samim ruterima baziranim na Multipoint GRE tunelima. Razlika je u tome kako se formira potreban skup parametara za ove tunele:

• в DMVPN/PfR je isključivo dvostepena hijerarhija čvorova sa topologijom Star ili Hub-n-Spoke. Potrebna je statička konfiguracija čvorišta i statičko povezivanje Spoke-a sa čvorištem, kao i interakcija putem NHRP protokola za formiranje povezanosti u ravni podataka. shodno tome, znatno otežavajući promjene u Hubuvezano, na primjer, za promjenu/povezivanje novih WAN kanala ili promjenu parametara postojećih.
• в SD WAN je potpuno dinamičan model za detekciju parametara instaliranih tunela baziran na kontrolnoj ravni (OMP protokol) i ravni orkestracije (interakcija sa vBond kontrolerom za detekciju kontrolera i zadatke NAT traversal). U ovom slučaju se mogu koristiti bilo koje superponirane topologije, uključujući i hijerarhijske. Unutar uspostavljene topologije preklapanja tunela moguća je fleksibilna konfiguracija logičke topologije u svakom pojedinačnom VPN(VRF).

Kontrolni avion – funkcije razmjene, filtriranja i modifikacije rutiranja i drugih informacija između komponenti rješenja.

• в DMVPN/PfR – vrši se samo između Hub i Spoke rutera. Direktna razmjena informacija o rutiranju između Spokesa nije moguća. shodno tome, Bez funkcionalnog čvorišta, kontrolna ravan i ravan podataka ne mogu funkcionisati, što na Hub nameće dodatne zahtjeve visoke dostupnosti koji se ne mogu uvijek ispuniti.
• в SD WAN – kontrolna ravnina se nikada ne vrši direktno između rutera – interakcija se odvija na osnovu OMP protokola i nužno se odvija kroz poseban specijalizovani tip vSmart kontrolera, koji pruža mogućnost balansiranja, geo-rezervacije i centralizovane kontrole signalno opterećenje. Još jedna karakteristika OMP protokola je njegova značajna otpornost na gubitke i nezavisnost od brzine komunikacionog kanala sa kontrolerima (naravno, u razumnim granicama). Što vam podjednako uspješno omogućava postavljanje SD-WAN kontrolera u javne ili privatne oblake s pristupom putem interneta.

Policy-plane – dio rješenja zadužen za definiranje, distribuciju i primjenu politika upravljanja prometom na distribuiranoj mreži.

• DMVPN – je efektivno ograničen politikama kvaliteta usluge (QoS) konfigurisanim pojedinačno na svakom ruteru preko CLI ili Prime Infrastructure šablona.
• DMVPN/PfR – PfR politike se formiraju na ruteru centraliziranog glavnog kontrolera (MC) preko CLI-a, a zatim se automatski distribuiraju granama MC. U ovom slučaju, koriste se isti putevi prijenosa politike kao i za ravan podataka. Ne postoji mogućnost razdvajanja razmjene politika, informacija o rutiranju i korisničkih podataka. Širenje politike zahtijeva prisustvo IP konekcije između Hub-a i Spoke-a. U ovom slučaju, MC funkcija se može, ako je potrebno, kombinirati s DMVPN ruterom. Moguće je (ali nije obavezno) koristiti predloške Prime Infrastructure za centralizovano generisanje politike. Važna karakteristika je da se politika formira globalno širom mreže na isti način - Pojedinačne politike za pojedinačne segmente nisu podržane.
• SD WAN – Politike upravljanja saobraćajem i kvaliteta usluga se određuju centralno preko Cisco vManage grafičkog interfejsa, dostupnog i preko Interneta (ako je potrebno). Distribuiraju se putem signalnih kanala direktno ili indirektno preko vSmart kontrolera (u zavisnosti od vrste politike). Oni ne ovise o povezanosti u ravni podataka između rutera, jer koristiti sve dostupne saobraćajne puteve između kontrolera i rutera.

  Za različite segmente mreže moguće je fleksibilno formulisati različite politike - opseg politike određen je brojnim jedinstvenim identifikatorima koji su dati u rješenju - broj grane, tip aplikacije, smjer prometa itd.

Orkestarski avion – mehanizmi koji omogućavaju komponentama da dinamički detektuju jedna drugu, konfigurišu i koordiniraju naknadne interakcije.

• в DMVPN/PfR Međusobno otkrivanje između rutera zasniva se na statičkoj konfiguraciji Hub uređaja i odgovarajućoj konfiguraciji Spoke uređaja. Dinamičko otkrivanje se događa samo za Spoke, koji prijavljuje parametre svoje Hub veze uređaju, koji je zauzvrat unaprijed konfiguriran sa Spoke. Bez IP povezivanja između Spoke-a i barem jednog Hub-a, nemoguće je formirati ni podatkovnu ni kontrolnu ravan.
• в SD WAN orkestracija komponenti rješenja odvija se korištenjem vBond kontrolera, s kojim svaka komponenta (ruteri i vManage/vSmart kontroleri) prvo mora uspostaviti IP konekciju.

  U početku, komponente ne znaju međusobne parametre veze - za to im je potreban vBond posrednički orkestrator. Opći princip je sljedeći - svaka komponenta u početnoj fazi uči (automatski ili statički) samo o parametrima povezivanja na vBond, zatim vBond obavještava ruter o vManage i vSmart kontrolerima (ranije otkrivenim), što omogućava automatsko uspostavljanje sve potrebne signalne veze.

  Sljedeći korak je da novi ruter nauči o drugim ruterima na mreži putem OMP komunikacije s vSmart kontrolerom. Dakle, ruter, bez da u početku zna bilo šta o mrežnim parametrima, može u potpunosti automatski detektovati i povezati se sa kontrolerima, a zatim automatski detektovati i uspostaviti povezanost sa drugim ruterima. U tom slučaju, parametri povezivanja svih komponenti su u početku nepoznati i mogu se promijeniti tokom rada.

Plan upravljanja – dio rješenja koji pruža centralizirano upravljanje i nadzor.

• DMVPN/PfR – nije obezbeđeno specijalizovano rešenje na nivou upravljanja. Za osnovnu automatizaciju i nadzor mogu se koristiti proizvodi kao što je Cisco Prime Infrastructure. Svaki ruter ima mogućnost kontrole preko CLI komandne linije. Integracija sa eksternim sistemima preko API-ja nije predviđena.
• SD WAN – sve redovne interakcije i nadzor se obavljaju centralno preko grafičkog interfejsa vManage kontrolera. Sve karakteristike rješenja, bez izuzetka, dostupne su za konfiguraciju putem vManage-a, kao i kroz potpuno dokumentovanu REST API biblioteku.

  Sve SD-WAN mrežne postavke u vManage-u svode se na dvije glavne konstrukcije - formiranje predložaka uređaja (Device Template) i formiranje politike koja određuje logiku rada mreže i obrade prometa. Istovremeno, vManage, emitujući politiku koju generiše administrator, automatski bira koje promene i na kojim pojedinačnim uređajima/kontrolerima treba izvršiti, što značajno povećava efikasnost i skalabilnost rešenja.

  Putem vManage sučelja dostupna je ne samo konfiguracija Cisco SD-WAN rješenja, već i potpuno praćenje statusa svih komponenti rješenja, sve do trenutnog stanja metrike za pojedinačne tunele i statistike o korištenju različitih aplikacija na osnovu DPI analize.

  Uprkos centralizaciji interakcije, sve komponente (kontroleri i ruteri) imaju i potpuno funkcionalnu CLI komandnu liniju, koja je neophodna u fazi implementacije ili u slučaju nužde za lokalnu dijagnostiku. U normalnom načinu rada (ako postoji signalni kanal između komponenti) na ruterima, komandna linija je dostupna samo za dijagnostiku i nije dostupna za lokalne promjene, što garantuje lokalnu sigurnost i jedini izvor promjena u takvoj mreži je vManage.

Integrirana sigurnost – ovdje treba govoriti ne samo o zaštiti korisničkih podataka pri prenošenju preko otvorenih kanala, već io ukupnoj sigurnosti WAN mreže na osnovu odabrane tehnologije.

• в DMVPN/PfR Moguće je šifrirati korisničke podatke i signalne protokole. Kada koristite određene modele rutera, dodatno su dostupne funkcije firewall-a sa inspekcijom saobraćaja, IPS/IDS. Moguće je segmentirati mreže podružnica koristeći VRF. Moguća je autentifikacija (jednofaktorskih) kontrolnih protokola.

  U ovom slučaju, udaljeni ruter se podrazumevano smatra pouzdanim elementom mreže - tj. slučajevi fizičke kompromitacije pojedinih uređaja i mogućnost neovlaštenog pristupa njima se ne pretpostavljaju niti uzimaju u obzir, ne postoji dvofaktorska autentifikacija komponenti rješenja, što u slučaju geografski raspoređene mreže može nositi značajne dodatne rizike.

• в SD WAN po analogiji sa DMVPN-om, omogućena je mogućnost šifriranja korisničkih podataka, ali uz značajno proširenu sigurnost mreže i funkcije L3/VRF segmentacije (firewall, IPS/IDS, URL filtriranje, DNS filtriranje, AMP/TG, SASE, TLS/SSL proxy, itd.) d.). Istovremeno, razmjena ključeva za enkripciju se obavlja efikasnije preko vSmart kontrolera (a ne direktno), preko unaprijed uspostavljenih signalnih kanala zaštićenih DTLS/TLS enkripcijom na osnovu sigurnosnih certifikata. Što zauzvrat jamči sigurnost takvih razmjena i osigurava bolju skalabilnost rješenja do desetina hiljada uređaja na istoj mreži.

  Sve signalne veze (kontroler-kontroler, kontroler-ruter) su takođe zaštićene na osnovu DTLS/TLS-a. Routeri su opremljeni sigurnosnim certifikatima tokom proizvodnje sa mogućnošću zamjene/produženja. Dvofaktorska autentifikacija se postiže obaveznim i simultanim ispunjavanjem dva uslova da ruter/kontroler funkcioniše u SD-WAN mreži:

  • Važeći sigurnosni certifikat
  • Eksplicitno i svjesno uključivanje od strane administratora svake komponente u „bijelu“ listu dozvoljenih uređaja.

Funkcionalne razlike između SD-WAN i DMVPN/PfR

Prelazeći na diskusiju o funkcionalnim razlikama, treba napomenuti da su mnoge od njih nastavak arhitektonskih - nije tajna da pri formiranju arhitekture rješenja programeri polaze od mogućnosti koje na kraju žele dobiti. Pogledajmo najznačajnije razlike između ove dvije tehnologije.

AppQ (Application Quality) – funkcije za osiguranje kvaliteta prijenosa prometa poslovnih aplikacija

Ključne funkcije tehnologija koje se razmatraju usmjerene su na poboljšanje korisničkog iskustva što je više moguće pri korištenju poslovnih kritičnih aplikacija u distribuiranoj mreži. Ovo je posebno važno u uslovima kada deo infrastrukture nije kontrolisan od strane IT ili čak ne garantuje uspešan prenos podataka.

DMVPN sam ne pruža takve mehanizme. Najbolje što se može učiniti u klasičnoj DMVPN mreži je klasificirati odlazni promet prema aplikaciji i dati mu prioritet kada se prenosi prema WAN kanalu. Izbor DMVPN tunela je u ovom slučaju određen samo njegovom dostupnošću i rezultatom rada protokola rutiranja. U isto vrijeme, end-to-end stanje puta/tunela i njegova moguća djelomična degradacija se ne uzimaju u obzir u smislu ključnih metrika koje su značajne za mrežne aplikacije - kašnjenje, varijacija kašnjenja (jitter) i gubici (% ). U tom smislu, direktno poređenje klasičnog DMVPN-a sa SD-WAN-om u smislu rješavanja AppQ problema gubi svaki smisao - DMVPN ne može riješiti ovaj problem. Kada u ovaj kontekst dodate tehnologiju Cisco Performance Routing (PfR), situacija se menja i poređenje sa Cisco SD-WAN postaje značajnije.

Prije nego što razgovaramo o razlikama, evo kratkog pogleda na to kako su tehnologije slične. Dakle, obje tehnologije:

• imaju mehanizam koji vam omogućava da dinamički procijenite stanje svakog uspostavljenog tunela u smislu određenih metrika - u najmanju ruku, kašnjenje, varijacija kašnjenja i gubitak paketa (%)
• koristiti određeni skup alata za formiranje, distribuciju i primjenu pravila (politika) upravljanja prometom, uzimajući u obzir rezultate mjerenja stanja ključnih metrika tunela.
• klasificirati promet aplikacije na nivoima L3-L4 (DSCP) OSI modela ili prema L7 potpisima aplikacije na osnovu DPI mehanizama ugrađenih u ruter
• Za značajne aplikacije, oni vam omogućavaju da odredite prihvatljive granične vrijednosti metrike, pravila za prijenos prometa prema zadanim postavkama i pravila za preusmjeravanje prometa kada se prekorače vrijednosti praga.
• Kada inkapsuliraju promet u GRE/IPSec, koriste već uspostavljeni industrijski mehanizam za prijenos internih DSCP oznaka u vanjsko zaglavlje GRE/IPSEC paketa, što omogućava sinhronizaciju QoS politika organizacije i telekom operatera (ako postoji odgovarajući SLA) .

Kako se SD-WAN i DMVPN/PfR end-to-end metrika razlikuju?

DMVPN/PfR

• I aktivni i pasivni softverski senzori (Probe) se koriste za procjenu standardnih metrika zdravlja tunela. Aktivni se baziraju na korisničkom prometu, pasivni emuliraju takav promet (u njegovom odsustvu).
• Nema finog podešavanja tajmera i uslova detekcije degradacije - algoritam je fiksiran.
• Dodatno, dostupno je mjerenje iskorištenog propusnog opsega u odlaznom smjeru. Što dodaje dodatnu fleksibilnost upravljanja prometom DMVPN/PfR.
• U isto vrijeme, neki PfR mehanizmi, kada su metrika prekoračena, oslanjaju se na povratnu signalizaciju u obliku posebnih TCA (Threshold Crossing Alert) poruka koje moraju doći od primaoca prometa prema izvoru, što zauzvrat pretpostavlja da je stanje izmjereni kanali bi trebali biti barem dovoljni za prijenos takvih TCA poruka. Što u većini slučajeva nije problem, ali se očito ne može garantirati.

SD WAN

• Za end-to-end evaluaciju standardnih metrika stanja tunela, BFD protokol se koristi u eho modu. U ovom slučaju nije potrebna posebna povratna informacija u obliku TCA ili sličnih poruka - održava se izolacija domena kvara. Također ne zahtijeva prisustvo korisničkog prometa za procjenu stanja tunela.
• Moguće je fino podesiti BFD tajmere za regulaciju brzine odgovora i osjetljivosti algoritma na degradaciju komunikacijskog kanala od nekoliko sekundi do minuta.

  

• U vrijeme pisanja, postoji samo jedna BFD sesija u svakom tunelu. Ovo potencijalno stvara manju granularnost u analizi stanja tunela. U stvarnosti, ovo može postati ograničenje samo ako koristite WAN vezu zasnovanu na MPLS L2/L3 VPN s dogovorenim QoS SLA - ako DSCP oznaka BFD prometa (nakon enkapsulacije u IPSec/GRE) odgovara redu čekanja visokog prioriteta u mreže telekom operatera, onda to može uticati na tačnost i brzinu detekcije degradacije za saobraćaj niskog prioriteta. U isto vrijeme, moguće je promijeniti zadanu BFD oznaku kako bi se smanjio rizik od takvih situacija. U budućim verzijama Cisco SD-WAN softvera, očekuju se fino podešene BFD postavke, kao i mogućnost pokretanja više BFD sesija unutar istog tunela sa pojedinačnim DSCP vrijednostima (za različite aplikacije).
• BFD vam dodatno omogućava procjenu maksimalne veličine paketa koji se može prenijeti kroz određeni tunel bez fragmentacije. Ovo omogućava SD-WAN-u da dinamički prilagođava parametre kao što su MTU i TCP MSS Adjust kako bi maksimalno iskoristio dostupnu propusnost na svakoj vezi.
• U SD-WAN-u je dostupna i opcija QoS sinhronizacije od telekom operatera, ne samo na osnovu L3 DSCP polja, već i na osnovu L2 CoS vrijednosti, koje se mogu automatski generirati u mreži podružnica od strane specijalizovanih uređaja - na primjer IP telefoni

Kako se razlikuju mogućnosti, metode definiranja i primjene AppQ politika?

DMVPN/PfR politike:

• Definirano na usmjerivačima centralne grane putem CLI komandne linije ili CLI konfiguracijskih predložaka. Generisanje CLI šablona zahteva pripremu i poznavanje sintakse politike.

  

• Definisano globalno bez mogućnosti individualne konfiguracije/promjene prema zahtjevima pojedinih segmenata mreže.
• Interaktivno generiranje politike nije omogućeno u grafičkom sučelju.
• Nije omogućeno praćenje promjena, nasljeđivanje i kreiranje više verzija politika za brzo prebacivanje.
• Distribuira se automatski na rutere udaljenih grana. U ovom slučaju se koriste isti kanali komunikacije kao i za prijenos korisničkih podataka. Ako ne postoji kanal komunikacije između centralne i udaljene filijale, distribucija/promjena politika je nemoguća.
• Koriste se na svakom ruteru i, ako je potrebno, modificiraju rezultat standardnih protokola rutiranja, koji imaju viši prioritet.
• Za slučajeve kada sve granske WAN veze doživljavaju značajan gubitak saobraćaja, nisu predviđeni mehanizmi kompenzacije.

SD-WAN pravila:

• Definirano u vManage GUI kroz interaktivni čarobnjak za šablone.
• Podržava kreiranje više politika, kopiranje, nasljeđivanje, prebacivanje između politika u realnom vremenu.
• Podržava pojedinačne postavke politike za različite mrežne segmente (grane)
• Distribuiraju se pomoću bilo kojeg dostupnog signalnog kanala između kontrolera i rutera i/ili vSmart-a - ne zavise direktno od povezanosti na podatkovnoj ravni između rutera. Ovo, naravno, zahtijeva IP konekciju između samog rutera i kontrolera.

  

• U slučajevima kada sve dostupne grane grane doživljavaju značajne gubitke podataka koji prelaze prihvatljive pragove za kritične aplikacije, moguće je koristiti dodatne mehanizme koji povećavaju pouzdanost prijenosa:
  • FEC (Forward Error Correction) – koristi poseban redundantni algoritam kodiranja. Prilikom prijenosa kritičnog prometa preko kanala sa značajnim procentom gubitaka, FEC se može automatski aktivirati i omogućava, ako je potrebno, vraćanje izgubljenog dijela podataka. Ovo neznatno povećava korišteni propusni opseg prijenosa, ali značajno poboljšava pouzdanost.

    

  • Dupliranje tokova podataka – Pored FEC-a, politika može predvideti automatsko dupliranje saobraćaja odabranih aplikacija u slučaju još ozbiljnijeg nivoa gubitaka koji se ne može nadoknaditi FEC-om. U tom slučaju, odabrani podaci će se prenijeti kroz sve tunele prema prijemnoj grani uz naknadnu de-duplikaciju (ispuštanje dodatnih kopija paketa). Mehanizam značajno povećava iskorištenost kanala, ali i značajno povećava pouzdanost prijenosa.

Cisco SD-WAN mogućnosti, bez direktnih analoga u DMVPN/PfR

Arhitektura Cisco SD-WAN rješenja u nekim slučajevima vam omogućava da dobijete mogućnosti koje je ili izuzetno teško implementirati unutar DMVPN/PfR, ili su nepraktične zbog potrebnih troškova rada, ili su potpuno nemoguće. Pogledajmo najzanimljivije od njih:

Saobraćajno inženjerstvo (TE)

TE uključuje mehanizme koji omogućavaju da se saobraćaj odvoji od standardne putanje formirane protokolima rutiranja. TE se često koristi za osiguranje visoke dostupnosti mrežnih usluga, kroz mogućnost brzog i/ili proaktivnog prijenosa kritičnog prometa na alternativni (disjoint) prijenosni put, kako bi se osigurao bolji kvalitet usluge ili brzina oporavka u slučaju kvara. na glavnoj stazi.

Poteškoća u implementaciji TE leži u potrebi da se unaprijed izračuna i rezerviše (provjeri) alternativni put. U MPLS mrežama telekom operatera ovaj problem se rješava korištenjem tehnologija kao što je MPLS Traffic-Engineering sa ekstenzijama IGP protokola i RSVP protokola. Nedavno je tehnologija rutiranja segmenta, koja je optimizovanija za centralizovanu konfiguraciju i orkestraciju, postala sve popularnija. U klasičnim WAN mrežama ove tehnologije obično nisu zastupljene ili su svedene na korištenje hop-by-hop mehanizama poput Policy-Based Routing (PBR), koji su sposobni za grananje saobraćaja, ali to implementiraju na svakom ruteru posebno - bez preuzimanja uzimajući u obzir ukupno stanje mreže ili PBR rezultat u prethodnim ili narednim koracima. Rezultat korišćenja ovih TE opcija je razočaravajući - MPLS TE se, zbog složenosti konfiguracije i rada, koristi, po pravilu, samo u najkritičnijem delu mreže (jezgru), a PBR se koristi na pojedinačnim ruterima bez mogućnost kreiranja jedinstvene PBR politike za cijelu mrežu. Očigledno, ovo se odnosi i na mreže zasnovane na DMVPN-u.

SD-WAN u tom smislu nudi mnogo elegantnije rješenje koje se ne samo lako konfiguriše, već se i mnogo bolje skalira. Ovo je rezultat korištene arhitekture kontrolne ravni i ravni politike. Implementacija ravni politike u SD-WAN omogućava vam da centralno definirate TE politiku – koji promet je od interesa? za koje VPN-ove? Kroz koje čvorove/tunele je potrebno ili, obrnuto, zabranjeno formirati alternativni put? Zauzvrat, centralizacija upravljanja ravnim kontrole zasnovana na vSmart kontrolerima omogućava vam da modificirate rezultate rutiranja bez pribjegavanja postavkama pojedinačnih uređaja - ruteri već vide samo rezultat logike koji je generiran u vManage sučelju i prebačen na korištenje u vSmart.

Lanac usluga

Formiranje uslužnih lanaca je još radno intenzivniji zadatak u klasičnom rutiranju od već opisanog mehanizma Traffic-Engineering. Doista, u ovom slučaju, potrebno je ne samo kreirati posebnu rutu za određenu mrežnu aplikaciju, već i osigurati mogućnost uklanjanja prometa iz mreže na određenim (ili svim) čvorovima SD-WAN mreže za obradu od strane posebnu aplikaciju ili uslugu (Firewall, Balancing, Caching, Inspection traffic, itd.). Istovremeno, potrebno je biti u mogućnosti kontrolisati stanje ovih eksternih servisa kako bi se spriječile situacije crnih rupa, a potrebni su i mehanizmi koji omogućavaju da se takvi eksterni servisi iste vrste postavljaju na različite geo-lokacije. sa mogućnošću mreže da automatski izabere najoptimalniji servisni čvor za obradu saobraćaja određene grane. U slučaju Cisco SD-WAN-a, to je prilično lako postići stvaranjem odgovarajuće centralizirane politike koja „lijepi“ sve aspekte ciljnog lanca usluga u jednu cjelinu i automatski mijenja logiku ravni podataka i kontrolne ravni samo tamo gdje i kada je potrebno.

Mogućnost kreiranja geo-distribuirane obrade prometa odabranih tipova aplikacija u određenom nizu na specijaliziranoj (ali koja nije povezana sa samom SD-WAN mrežom) opremi je možda najjasnija demonstracija prednosti Cisco SD-WAN-a u odnosu na klasičnu tehnologije, pa čak i neka alternativna SD rješenja -WAN drugih proizvođača.

Šta je na kraju?

Očigledno, i DMVPN (sa ili bez usmjeravanja performansi) i Cisco SD-WAN na kraju rješavaju vrlo slične probleme u odnosu na distribuiranu WAN mrežu organizacije. Istovremeno, značajne arhitektonske i funkcionalne razlike u Cisco SD-WAN tehnologiji dovode do procesa rješavanja ovih problema. na drugi nivo kvaliteta. Da rezimiramo, možemo primijetiti sljedeće značajne razlike između SD-WAN i DMVPN/PfR tehnologija:

• DMVPN/PfR općenito koriste provjerene tehnologije za izgradnju preklapajućih VPN mreža i, u smislu podatkovne ravni, slični su modernijoj SD-WAN tehnologiji, međutim, postoji niz ograničenja u obliku obavezne statičke konfiguracije rutera i izbor topologija je ograničen na Hub-n-Spoke. S druge strane, DMVPN/PfR ima neke funkcionalnosti koje još nisu dostupne unutar SD-WAN-a (govorimo o BFD-u po aplikaciji).
• Unutar kontrolne ravni, tehnologije se suštinski razlikuju. Uzimajući u obzir centraliziranu obradu signalnih protokola, SD-WAN omogućava, posebno, značajno sužavanje domena kvarova i „odvajanje“ procesa prijenosa korisničkog prometa od signalne interakcije - privremena nedostupnost kontrolera ne utiče na mogućnost prijenosa korisničkog prometa . Istovremeno, privremena nedostupnost bilo koje grane (uključujući i centralnu) ni na koji način ne utiče na sposobnost drugih grana da međusobno komuniciraju i kontrolorima.
• Arhitektura za formiranje i primjenu politika upravljanja prometom u slučaju SD-WAN-a je također superiornija od one u DMVPN/PfR - geo-rezervacija je mnogo bolje implementirana, nema veze sa Hub-om, ima više mogućnosti za fino -podešavanje politike, lista implementiranih scenarija upravljanja saobraćajem je takođe mnogo veća.
• Proces orkestracije rješenja je također značajno drugačiji. DMVPN pretpostavlja prisustvo ranije poznatih parametara koji se moraju na neki način odraziti u konfiguraciji, što donekle ograničava fleksibilnost rješenja i mogućnost dinamičkih promjena. Zauzvrat, SD-WAN se zasniva na paradigmi da u početnom trenutku povezivanja ruter „ne zna ništa“ o svojim kontrolerima, ali zna „koga možete pitati“ - to je dovoljno ne samo da automatski uspostavi komunikaciju sa kontrolera, ali i do automatskog formiranja potpuno povezane topologije podatkovne ravni, koja se zatim može fleksibilno konfigurirati/promijeniti korištenjem politika.
• U smislu centraliziranog upravljanja, automatizacije i nadzora, očekuje se da će SD-WAN nadmašiti mogućnosti DMVPN/PfR, koje su evoluirale iz klasičnih tehnologija i koje se više oslanjaju na CLI komandnu liniju i upotrebu NMS sistema baziranih na šablonima.
• U SD-WAN-u, u poređenju sa DMVPN-om, sigurnosni zahtjevi su dostigli drugačiji kvalitativni nivo. Glavni principi su nulto povjerenje, skalabilnost i dvofaktorska autentifikacija.

Ovi jednostavni zaključci mogu ostaviti pogrešan utisak da je stvaranje mreže zasnovane na DMVPN/PfR danas izgubilo svaku relevantnost. Ovo naravno nije sasvim tačno. Na primjer, u slučajevima kada mreža koristi mnogo zastarjele opreme i nema načina da je zamijenite, DMVPN vam može omogućiti da kombinujete "stare" i "nove" uređaje u jednu geo-distribuiranu mrežu sa mnogim opisanim prednostima gore.

S druge strane, treba imati na umu da svi trenutni Cisco korporativni ruteri bazirani na IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) danas podržavaju bilo koji način rada - i klasično rutiranje i DMVPN i SD-WAN - izbor je određen trenutnim potrebama i shvaćanjem da u svakom trenutku, koristeći istu opremu, možete krenuti prema naprednijoj tehnologiji.

izvor: www.habr.com