🥇Putol ba sa Cisco ang SD-WAN branch diin naglingkod ang DMVPN?

Sukad sa Agosto 2017, sa dihang nakuha sa Cisco ang Viptela, ang nag-unang teknolohiya nga gitanyag alang sa pag-organisar sa gipang-apod-apod nga mga network sa negosyo nahimong Cisco SD-WAN. Sa miaging 3 ka tuig, ang teknolohiya sa SD-WAN nakaagi sa daghang mga pagbag-o, parehas nga kwalitatibo ug quantitative. Sa ingon, ang pag-andar labi nga nagkalapad ug ang suporta nagpakita sa mga klasiko nga mga router sa serye Cisco ISR 1000, ISR 4000, ASR 1000 ug Virtual CSR 1000v. Sa parehas nga oras, daghang mga kostumer ug kasosyo sa Cisco ang nagpadayon sa paghunahuna: unsa ang mga kalainan tali sa Cisco SD-WAN ug pamilyar na nga mga pamaagi base sa mga teknolohiya sama sa Cisco DMVPN и Pag-ruta sa Pagganap sa Cisco ug unsa ka importante kini nga mga kalainan?

Dinhi kinahanglan nga maghimo dayon kami usa ka reserbasyon nga sa wala pa ang pag-abut sa SD-WAN sa portfolio sa Cisco, ang DMVPN kauban ang PfR nahimo nga hinungdanon nga bahin sa arkitektura. Cisco IWAN (Intelihenteng WAN), nga sa baylo mao ang gisundan sa hingpit nga teknolohiya sa SD-WAN. Bisan pa sa kinatibuk-ang pagkaparehas sa duha nga mga buluhaton nga nasulbad ug ang mga pamaagi sa pagsulbad niini, ang IWAN wala gayud makadawat sa lebel sa automation, flexibility ug scalability nga gikinahanglan alang sa SD-WAN, ug sa paglabay sa panahon, ang pag-uswag sa IWAN mikunhod pag-ayo. Sa parehas nga oras, ang mga teknolohiya nga naglangkob sa IWAN wala mawala, ug daghang mga kostumer ang nagpadayon sa paggamit niini nga malampuson, lakip ang mga modernong kagamitan. Ingon usa ka sangputanan, usa ka makapaikag nga kahimtang ang mitungha - ang parehas nga kagamitan sa Cisco nagtugot kanimo sa pagpili sa labing angay nga teknolohiya sa WAN (klasiko, DMVPN + PfR o SD-WAN) uyon sa mga kinahanglanon ug gipaabut sa mga kostumer.

Ang artikulo wala magtinguha sa pag-analisar sa detalye sa tanan nga mga bahin sa Cisco SD-WAN ug DMVPN nga mga teknolohiya (nga adunay o walay Performance Routing) - adunay daghang mga magamit nga mga dokumento ug materyales alang niini. Ang panguna nga tahas mao ang pagsulay sa pagtimbang-timbang sa hinungdanon nga mga kalainan tali sa kini nga mga teknolohiya. Apan sa dili pa magpadayon sa paghisgot niini nga mga kalainan, atong hinumdoman sa makadiyot ang mga teknolohiya mismo.

Unsa ang Cisco DMVPN ug nganong gikinahanglan kini?

Gisulbad sa Cisco DMVPN ang problema sa dinamikong (= scalable) nga koneksyon sa usa ka hilit nga network sa sanga sa network sa sentral nga opisina sa usa ka negosyo kung gigamit ang mga arbitraryong tipo sa mga channel sa komunikasyon, lakip ang Internet (= nga adunay pag-encrypt sa channel sa komunikasyon). Sa teknikal, kini matuman pinaagi sa paghimo sa usa ka virtualized overlay network sa L3 VPN nga klase sa point-to-multipoint mode nga adunay lohikal nga topology sa "Star" type (Hub-n-Spoke). Aron makab-ot kini, ang DMVPN naggamit sa kombinasyon sa mosunod nga mga teknolohiya:

Pag-ruta sa IP
Multipoint GRE tunnels (mGRE)
Sunod nga Hop Resolution Protocol (NHRP)
Mga profile sa IPSec Crypto

Unsa ang mga nag-unang bentaha sa Cisco DMVPN kumpara sa klasiko nga pag-ruta gamit ang mga channel sa MPLS VPN?

Aron makahimo usa ka interbranch network, posible nga magamit ang bisan unsang mga channel sa komunikasyon - bisan unsa nga makahatag koneksyon sa IP tali sa mga sanga angay, samtang ang trapiko ma-encrypt (kung gikinahanglan) ug balanse (kung mahimo)
Ang usa ka hingpit nga konektado nga topology tali sa mga sanga awtomatik nga naporma. Sa parehas nga oras, adunay mga static nga tunel taliwala sa sentral ug hilit nga mga sanga, ug dinamikong mga tunel kung gipangayo taliwala sa mga hilit nga sanga (kung adunay trapiko)
Ang mga router sa sentral ug hilit nga sanga adunay parehas nga pag-configure hangtod sa mga IP address sa mga interface. Pinaagi sa paggamit sa mGRE, dili kinahanglan nga indibidwal nga i-configure ang napulo, gatusan, o bisan libu-libo nga mga tunel. Ingon sa usa ka resulta, desente scalability uban sa husto nga disenyo.

Unsa ang Cisco Performance Routing ug nganong gikinahanglan kini?

Kung gigamit ang DMVPN sa usa ka interbranch network, usa ka labi ka hinungdanon nga pangutana ang nagpabilin nga wala masulbad - kung giunsa ang dinamikong pagsusi sa kahimtang sa matag usa sa mga tunel sa DMVPN alang sa pagsunod sa mga kinahanglanon sa trapiko nga kritikal alang sa among organisasyon ug, usab, base sa ingon nga pagtasa, dinamikong paghimo usa ka desisyon sa pag-usab sa ruta? Ang kamatuoran mao nga ang DMVPN niini nga bahin gamay ra ang kalainan sa klasikal nga ruta - ang labing maayo nga mahimo mao ang pag-configure sa mga mekanismo sa QoS nga magtugot kanimo nga unahon ang trapiko sa paggawas nga direksyon, apan wala’y katakus sa pagkonsiderar sa kahimtang sa ang tibuok dalan sa usa ka higayon o sa lain.

Ug unsa ang buhaton kung ang channel nagdaot sa partially ug dili sa hingpit - unsaon pag-ila ug pagtimbang-timbang niini? Ang DMVPN mismo dili makahimo niini. Gikonsiderar nga ang mga kanal nga nagkonektar sa mga sanga mahimong moagi sa hingpit nga lainlaing mga operator sa telecom, gamit ang hingpit nga lainlaing mga teknolohiya, kini nga buluhaton nahimo nga labi ka dili hinungdanon. Ug kini diin ang Cisco Performance Routing nga teknolohiya moabut sa pagluwas, nga nianang panahona nakaagi na sa daghang mga yugto sa pag-uswag.

Ang tahas sa Cisco Performance Routing (pagkahuman niini PfR) moabut sa pagsukod sa kahimtang sa mga agianan (tunnels) sa trapiko base sa mga yawe nga sukatan nga hinungdanon alang sa mga aplikasyon sa network - latency, latency variation (jitter) ug packet loss (porsiyento). Dugang pa, ang gigamit nga bandwidth mahimong masukod. Kini nga mga pagsukod mahitabo nga duol sa tinuod nga panahon kutob sa mahimo ug makatarunganon, ug ang resulta niini nga mga pagsukod nagtugot sa router nga naggamit sa PfR sa dinamikong paghimo og mga desisyon mahitungod sa panginahanglan sa pag-usab sa pag-ruta niini o nianang matang sa trapiko.

Busa, ang tahas sa kombinasyon sa DMVPN/PfR mahimong mahulagway sa mubo sama sa mosunod:

Tugoti ang kustomer sa paggamit sa bisan unsang mga channel sa komunikasyon sa WAN network
Siguruha ang labing taas nga posible nga kalidad sa mga kritikal nga aplikasyon sa kini nga mga channel

Unsa ang Cisco SD-WAN?

Ang Cisco SD-WAN usa ka teknolohiya nga naggamit sa SDN nga pamaagi sa paghimo ug pagpadagan sa WAN network sa usa ka organisasyon. Kini sa partikular nagpasabut sa paggamit sa gitawag nga mga controller (mga elemento sa software), nga naghatag og sentralisadong orkestrasyon ug automated nga pag-configure sa tanang mga sangkap sa solusyon. Dili sama sa canonical SDN (Clean Slate style), ang Cisco SD-WAN naggamit sa pipila ka mga matang sa controllers, nga ang matag usa naghimo sa iyang kaugalingong papel - kini gituyo nga gihimo aron sa paghatag og mas maayo nga scalability ug geo-redundancy.

Sa kaso sa SD-WAN, ang tahas sa paggamit sa bisan unsang matang sa mga channel ug pagsiguro nga ang operasyon sa mga aplikasyon sa negosyo nagpabilin nga pareho, apan sa samang higayon, ang mga kinahanglanon alang sa automation, scalability, seguridad ug pagka-flexible sa ingon nga network nagpalapad.

Paghisgot sa mga kalainan

Kung magsugod na kita sa pag-analisar sa mga kalainan tali sa kini nga mga teknolohiya, mahulog sila sa usa sa mga musunud nga kategorya:

Mga kalainan sa arkitektura - giunsa ang pag-apod-apod sa mga gimbuhaton sa lainlaing mga sangkap sa solusyon, giunsa pag-organisar ang interaksyon sa ingon nga mga sangkap, ug giunsa kini makaapekto sa mga kapabilidad ug kadali sa teknolohiya?
Functionality - unsa ang mahimo sa usa ka teknolohiya nga dili mahimo sa lain? Ug importante ba gayod kini?

Unsa ang mga kalainan sa arkitektura ug hinungdanon ba kini?

Ang matag usa niini nga mga teknolohiya adunay daghang mga "naglihok nga mga bahin" nga lahi dili lamang sa ilang mga tahas, apan usab kung giunsa sila nakig-uban sa usag usa. Unsa ka maayo nga gihunahuna kini nga mga prinsipyo ug ang kinatibuk-ang mekaniko sa solusyon direkta nga nagtino sa pagkadako niini, pagtugot sa sayup ug kinatibuk-ang kahusayan.

Atong tan-awon ang lainlaing mga aspeto sa arkitektura sa mas detalyado:

Data-eroplano – kabahin sa solusyon nga responsable sa pagpasa sa trapiko sa user tali sa tinubdan ug sa nakadawat. Ang DMVPN ug SD-WAN gipatuman sa kasagaran parehas sa mga router mismo base sa Multipoint GRE tunnels. Ang kalainan mao kung giunsa ang kinahanglan nga hugpong sa mga parameter alang sa kini nga mga tunel naporma:

в DMVPN/PfR usa ka eksklusibo nga duha ka lebel nga hierarchy sa mga node nga adunay usa ka Star o Hub-n-Spoke nga topology. Gikinahanglan ang static nga configuration sa Hub ug static binding sa Spoke to the Hub, ingon man ang interaksyon pinaagi sa NHRP protocol aron maporma ang data-plane connectivity. Tungod niini, paghimo sa mga pagbag-o sa Hub labi ka lisudnga may kalabutan, pananglitan, sa pagbag-o/pagkonektar sa bag-ong mga channel sa WAN o pagbag-o sa mga parameter sa mga naa na.
в SD WAN usa ka hingpit nga dinamikong modelo alang sa pag-ila sa mga parameter sa mga na-install nga tunnel base sa control-plane (OMP protocol) ug orchestration-plane (interaksyon sa vBond controller alang sa controller detection ug NAT traversal tasks). Sa kini nga kaso, ang bisan unsang mga superimposed topologies mahimong magamit, lakip ang mga hierarchical. Sulod sa natukod nga overlay tunnel topology, ang flexible configuration sa logical topology sa matag indibidwal VPN(VRF) posible.

Control-eroplano - mga gimbuhaton sa pagbinayloay, pagsala ug pagbag-o sa ruta ug uban pang kasayuran tali sa mga sangkap sa solusyon.

в DMVPN/PfR – gihimo lamang tali sa Hub ug Spoke routers. Dili mahimo ang direktang pagbayloay sa impormasyon sa ruta tali sa Spokes. Tungod niini, Kung walay naglihok nga Hub, ang control-plane ug data-plane dili molihok, nga nagpahamtang og dugang nga taas nga kinahanglanon nga magamit sa Hub nga dili kanunay matuman.
в SD WAN – Ang control-plane dili diretso nga gihimo sa taliwala sa mga routers – ang interaksyon mahitabo pinasikad sa OMP protocol ug gikinahanglan nga ipahigayon pinaagi sa usa ka linain nga espesyal nga matang sa vSmart controller, nga naghatag sa posibilidad sa pagbalanse, geo-reservation ug sentralisadong kontrol sa load sa signal. Ang laing bahin sa OMP protocol mao ang mahinungdanon nga pagbatok sa mga pagkawala ug kagawasan gikan sa katulin sa channel sa komunikasyon uban sa mga controllers (sa sulod sa makatarunganon nga mga limitasyon, siyempre). Nga parehas nga malampuson nga nagtugot kanimo sa pagbutang sa mga SD-WAN controllers sa publiko o pribado nga mga panganod nga adunay access pinaagi sa Internet.

Plano-eroplano – kabahin sa solusyon nga responsable sa pagtino, pag-apod-apod ug pagpadapat sa mga polisiya sa pagdumala sa trapiko sa usa ka gipang-apod-apod nga network.

DMVPN - epektibo nga limitado sa kalidad sa serbisyo (QoS) nga mga palisiya nga gi-configure sa tagsa-tagsa sa matag router pinaagi sa CLI o Prime Infrastructure templates.
DMVPN/PfR – Ang mga polisiya sa PfR naporma sa sentralisadong Master Controller (MC) nga router pinaagi sa CLI ug dayon awtomatikong ipanghatag ngadto sa mga branch MC. Sa kini nga kaso, ang parehas nga mga agianan sa pagbalhin sa palisiya gigamit ingon alang sa data-plane. Wala’y posibilidad nga ibulag ang pagbinayloay sa mga palisiya, kasayuran sa ruta ug datos sa tiggamit. Ang pagpalapad sa polisiya nagkinahanglan sa presensya sa IP connectivity tali sa Hub ug Spoke. Sa kini nga kaso, ang function sa MC mahimo, kung kinahanglan, mahiusa sa usa ka router sa DMVPN. Posible (apan dili kinahanglan) nga gamiton ang mga template sa Prime Infrastructure alang sa sentralisadong henerasyon sa palisiya. Usa ka importante nga bahin mao nga ang polisiya naporma sa tibuok kalibutan sa tibuok network sa samang paagi - Indi suportado ang indibiduwal nga mga polisiya para sa indibiduwal nga mga bahin.
SD WAN – Ang pagdumala sa trapiko ug kalidad sa mga polisiya sa serbisyo gitino sa sentro pinaagi sa Cisco vManage graphical interface, nga ma-access usab pinaagi sa Internet (kon gikinahanglan). Giapod-apod kini pinaagi sa mga channel sa pagsenyas direkta o dili direkta pinaagi sa mga controller sa vSmart (depende sa klase sa palisiya). Wala sila nagsalig sa koneksyon sa data-plane tali sa mga router, tungod kay gamita ang tanang anaa nga agianan sa trapiko tali sa controller ug sa router.
Alang sa lainlaing mga bahin sa network, posible nga dali nga maghimo lainlaing mga palisiya - ang sakup sa palisiya gitino sa daghang mga talagsaon nga mga identifier nga gihatag sa solusyon - numero sa sanga, tipo sa aplikasyon, direksyon sa trapiko, ug uban pa.

Orkestra-eroplano - mga mekanismo nga nagtugot sa mga sangkap sa dinamikong pag-ila sa usag usa, pag-configure ug pag-coordinate sa sunod nga mga interaksyon.

в DMVPN/PfR Ang pagdiskubre sa mutual tali sa mga router gibase sa static nga configuration sa Hub device ug ang katugbang nga configuration sa Spoke device. Ang dinamikong pagkadiskobre mahitabo lamang alang sa Spoke, nga nagtaho sa mga parameter sa koneksyon sa Hub ngadto sa device, nga sa baylo gi-pre-configure sa Spoke. Kung walay koneksyon sa IP tali sa Spoke ug labing menos usa ka Hub, imposible nga maporma ang usa ka data-plane o usa ka control-plane.
в SD WAN Ang pag-orkestra sa mga sangkap sa solusyon mahitabo gamit ang vBond controller, diin ang matag component (router ug vManage/vSmart controllers) kinahanglan una nga magtukod og IP connectivity.
Sa sinugdan, ang mga sangkap wala mahibal-an bahin sa mga parameter sa koneksyon sa usag usa - alang niini kinahanglan nila ang vBond intermediary orchestrator. Ang kinatibuk-ang prinsipyo mao ang mosunod - ang matag component sa inisyal nga hugna makakat-on (awtomatiko o static) lamang mahitungod sa mga parameter sa koneksyon ngadto sa vBond, unya ang vBond nagpahibalo sa router mahitungod sa vManage ug vSmart controllers (nadiskobrehan sa sayo pa), nga nagpaposible sa awtomatikong pagtukod. tanan nga gikinahanglan nga mga koneksyon sa pagsenyas.

Ang sunod nga lakang alang sa bag-ong router aron mahibal-an ang bahin sa ubang mga router sa network pinaagi sa komunikasyon sa OMP sa vSmart controller. Sa ingon, ang router, nga wala’y nahibal-an sa una bahin sa mga parameter sa network, makahimo sa hingpit nga awtomatikong pag-ila ug pagkonektar sa mga controller ug dayon awtomatiko usab nga makit-an ug maporma ang koneksyon sa ubang mga router. Sa kini nga kaso, ang mga parameter sa koneksyon sa tanan nga mga sangkap sa una wala mahibal-an ug mahimong mabag-o sa panahon sa operasyon.

Management-eroplano – kabahin sa solusyon nga naghatag ug sentralisadong pagdumala ug pagmonitor.

DMVPN/PfR - walay espesyal nga management-plane solution nga gihatag. Para sa batakang automation ug monitoring, ang mga produkto sama sa Cisco Prime Infrastructure mahimong magamit. Ang matag router adunay abilidad nga makontrol pinaagi sa CLI command line. Ang panagsama sa mga eksternal nga sistema pinaagi sa API wala gihatag.
SD WAN – ang tanang regular nga interaksyon ug pagmonitor gihimo sa sentro pinaagi sa graphical interface sa vManage controller. Ang tanan nga mga bahin sa solusyon, nga wala’y eksepsiyon, magamit alang sa pag-configure pinaagi sa vManage, ingon man pinaagi sa usa ka hingpit nga dokumentado nga librarya sa REST API.
Ang tanan nga mga setting sa network sa SD-WAN sa vManage nahulog sa duha ka panguna nga mga konstruksyon - ang pagporma sa mga template sa aparato (Device Template) ug ang pagporma sa usa ka palisiya nga nagtino sa lohika sa operasyon sa network ug pagproseso sa trapiko. Sa parehas nga oras, ang vManage, nga nagsibya sa palisiya nga gihimo sa tagdumala, awtomatiko nga nagpili kung unsang mga pagbag-o ug kung diin kinahanglan himuon ang mga indibidwal nga aparato / controller, nga labi nga nagdugang ang kahusayan ug kadaghan sa solusyon.

Pinaagi sa vManage interface, dili lamang ang pag-configure sa Cisco SD-WAN nga solusyon ang magamit, apan ang bug-os nga pag-monitor sa kahimtang sa tanan nga mga sangkap sa solusyon, hangtod sa karon nga kahimtang sa mga sukatan alang sa indibidwal nga mga tunnel ug estadistika sa paggamit sa lainlaing mga aplikasyon. base sa DPI analysis.

Bisan pa sa sentralisasyon sa interaksyon, ang tanan nga mga sangkap (controllers ug routers) usab adunay usa ka fully functional CLI command line, nga gikinahanglan sa yugto sa pagpatuman o sa kaso sa usa ka emerhensya alang sa lokal nga mga diagnostic. Sa normal nga mode (kung adunay usa ka signaling channel tali sa mga sangkap) sa mga router, ang command line magamit lamang alang sa mga diagnostic ug dili magamit alang sa paghimo sa mga lokal nga pagbag-o, nga naggarantiya sa lokal nga seguridad ug ang bugtong gigikanan sa mga pagbag-o sa ingon nga network mao ang vManage.

Nahiusa nga Seguridad - dinhi kinahanglan naton hisgutan dili lamang ang pagpanalipod sa datos sa tiggamit kung ipadala sa bukas nga mga kanal, apan bahin usab sa kinatibuk-ang seguridad sa WAN network base sa gipili nga teknolohiya.

в DMVPN/PfR Posible nga ma-encrypt ang datos sa tiggamit ug mga protocol sa pagsenyas. Kung gigamit ang pipila nga mga modelo sa router, ang firewall naglihok sa pag-inspeksyon sa trapiko, ang IPS / IDS magamit usab. Posible nga mabahin ang mga network sa sanga gamit ang VRF. Posible nga mapamatud-an ang (usa ka hinungdan) nga mga protocol sa pagkontrol.
Sa kini nga kaso, ang hilit nga router giisip nga usa ka kasaligan nga elemento sa network pinaagi sa default - i.e. Ang mga kaso sa pisikal nga pagkompromiso sa mga indibidwal nga mga aparato ug ang posibilidad sa dili awtorisado nga pag-access niini wala gihunahuna o gikonsiderar; wala’y duha ka hinungdan nga pag-authenticate sa mga sangkap sa solusyon, nga sa kaso sa usa ka network nga giapod-apod sa geograpiya. mahimong magdala ug dagkong dugang nga mga risgo.
в SD WAN pinaagi sa analohiya sa DMVPN, ang abilidad sa pag-encrypt sa data sa user gihatag, apan uban sa mahinungdanon nga gipalapdan nga seguridad sa network ug L3/VRF segmentation functions (firewall, IPS/IDs, URL filtering, DNS filtering, AMP/TG, SASE, TLS/SSL proxy, ug uban pa) d.). Sa samang higayon, ang pagbinayloay sa mga yawe sa pag-encrypt gihimo nga mas episyente pinaagi sa vSmart controllers (kaysa direkta), pinaagi sa pre-established signaling channels nga giprotektahan sa DTLS/TLS encryption base sa security certificates. Nga sa baylo naggarantiya sa kasiguruhan sa ingon nga mga pagbinayloay ug nagsiguro nga mas maayo nga scalability sa solusyon hangtod sa napulo ka libo nga mga aparato sa parehas nga network.
Ang tanang koneksyon sa pagsenyas (controller-to-controller, controller-router) giprotektahan usab base sa DTLS/TLS. Ang mga router nasangkapan sa mga sertipiko sa kaluwasan sa panahon sa produksyon nga adunay posibilidad sa pag-ilis / extension. Ang two-factor authentication nakab-ot pinaagi sa mandatory ug dungan nga katumanan sa duha ka kondisyon alang sa router/controller nga mag-function sa SD-WAN network:
- Balido nga sertipiko sa seguridad
- Dayag ug mahunahunaon nga paglakip sa tagdumala sa matag sangkap sa "puti" nga lista sa gitugotan nga mga aparato.

Mga kalainan sa pag-andar tali sa SD-WAN ug DMVPN/PfR

Ang pagpadayon sa paghisgot sa mga kalainan sa pag-andar, kinahanglan nga matikdan nga kadaghanan niini usa ka pagpadayon sa mga arkitektura - dili sekreto nga kung nagporma ang arkitektura sa usa ka solusyon, ang mga developer magsugod gikan sa mga kapabilidad nga gusto nila makuha sa katapusan. Atong tan-awon ang labing hinungdanon nga mga kalainan tali sa duha nga mga teknolohiya.

AppQ (Application Quality) – naglihok aron masiguro ang kalidad sa pagpasa sa trapiko sa aplikasyon sa negosyo

Ang yawe nga mga gimbuhaton sa mga teknolohiya nga gikonsiderar gitumong sa pagpauswag sa kasinatian sa gumagamit kutob sa mahimo kung mogamit mga aplikasyon nga kritikal sa negosyo sa usa ka gipang-apod-apod nga network. Importante kini ilabina sa mga kondisyon diin ang bahin sa imprastraktura dili kontrolado sa IT o dili gani garantiya nga malampuson nga pagbalhin sa datos.

Ang DMVPN wala mismo naghatag sa ingon nga mga mekanismo. Ang labing maayo nga mahimo sa usa ka klasiko nga DMVPN network mao ang pagklasipikar sa paggawas nga trapiko pinaagi sa aplikasyon ug unahon kini kung ipadala sa WAN channel. Ang pagpili sa usa ka tunel sa DMVPN gitino sa kini nga kaso pinaagi lamang sa pagkaanaa niini ug ang sangputanan sa operasyon sa mga protocol sa pag-ruta. Sa samang higayon, ang end-to-end nga estado sa dalan/tunnel ug ang posibleng partial degradation niini wala gikonsiderar sa mga termino sa key metrics nga mahinungdanon alang sa network applications - delay, delay variation (jitter) ug losses (% ). Niining bahina, ang direktang pagtandi sa klasiko nga DMVPN sa SD-WAN sa mga termino sa pagsulbad sa mga problema sa AppQ nawad-an sa tanan nga kahulogan - Dili masulbad sa DMVPN kini nga problema. Kung imong idugang ang Cisco Performance Routing (PfR) nga teknolohiya niini nga konteksto, ang sitwasyon mausab ug ang pagtandi sa Cisco SD-WAN mahimong mas makahuluganon.

Sa wala pa naton hisgutan ang mga kalainan, ania ang usa ka dali nga pagtan-aw kung giunsa ang mga teknolohiya parehas. Busa, ang duha ka teknolohiya:

adunay usa ka mekanismo nga nagtugot kanimo sa dinamikong pagtimbang-timbang sa kahimtang sa matag natukod nga tunel sa mga termino sa pipila nga mga sukatan - sa labing gamay, paglangan, pagbag-o sa paglangan ug pagkawala sa pakete (%)
gamita ang usa ka piho nga hugpong sa mga himan sa pagporma, pag-apod-apod ug paggamit sa mga lagda sa pagdumala sa trapiko (mga polisiya), nga gikonsiderar ang mga resulta sa pagsukod sa kahimtang sa yawe nga mga sukatan sa tunnel.
pagklasipikar sa trapiko sa aplikasyon sa lebel L3-L4 (DSCP) sa modelo sa OSI o pinaagi sa mga pirma sa aplikasyon sa L7 base sa mga mekanismo sa DPI nga gitukod sa router
Alang sa hinungdanon nga mga aplikasyon, gitugotan ka nila nga mahibal-an ang madawat nga mga kantidad sa threshold sa mga sukatan, mga lagda alang sa pagpadala sa trapiko pinaagi sa default, ug mga lagda alang sa pag-usab sa trapiko kung ang mga kantidad sa threshold nalapas.
Kung gi-encapsulate ang trapiko sa GRE / IPSec, gigamit nila ang na-establisar na nga mekanismo sa industriya alang sa pagbalhin sa internal nga mga marka sa DSCP sa eksternal nga header sa GRE / IPSEC packet, nga nagtugot sa pag-synchronize sa mga palisiya sa QoS sa organisasyon ug operator sa telecom (kung adunay angay nga SLA) .

Sa unsang paagi magkalahi ang SD-WAN ug DMVPN/PfR end-to-end metrics?

DMVPN/PfR

Parehong aktibo ug passive software sensors (Probes) gigamit sa pagtimbang-timbang sa standard nga tunnel health metrics. Ang mga aktibo gibase sa trapiko sa tiggamit, ang mga passive nagsunod sa ingon nga trapiko (kung wala kini).
Wala’y maayong pag-tune sa mga timer ug mga kondisyon sa pag-detect sa pagkadaot - ang algorithm naayo.
Dugang pa, ang pagsukod sa gigamit nga bandwidth sa paggawas nga direksyon magamit. Nga nagdugang dugang nga kadali sa pagdumala sa trapiko sa DMVPN/PfR.
Sa samang higayon, ang pipila ka mga mekanismo sa PfR, kung lapas na ang mga metrics, nagsalig sa feedback signaling sa porma sa espesyal nga TCA (Threshold Crossing Alert) nga mga mensahe nga kinahanglang maggikan sa tigdawat sa trapiko paingon sa tinubdan, nga sa baylo nagtuo nga ang kahimtang sa Ang gisukod nga mga agianan kinahanglan nga labing menos igo alang sa pagpasa sa ingon nga mga mensahe sa TCA. Nga sa kadaghanan nga mga kaso dili usa ka problema, apan klaro nga dili garantiya.

SD WAN

Para sa end-to-end evaluation sa standard tunnel state metrics, ang BFD protocol gigamit sa echo mode. Sa kini nga kaso, ang espesyal nga feedback sa porma sa TCA o parehas nga mga mensahe wala kinahanglana - ang pag-inusara sa mga kapakyasan nga domain gipadayon. Wala usab kinahanglana ang presensya sa trapiko sa tiggamit aron masusi ang kahimtang sa tunel.
Posible nga i-fine-tune ang mga timer sa BFD aron ma-regulate ang katulin sa pagtubag ug pagkasensitibo sa algorithm sa pagkadaot sa channel sa komunikasyon gikan sa pipila ka segundo hangtod minuto.
Sa panahon sa pagsulat, adunay usa lamang ka sesyon sa BFD sa matag tunel. Mahimong makamugna kini og gamay nga granularity sa pagtuki sa estado sa tunnel. Sa tinuud, mahimo ra kini nga limitasyon kung mogamit ka usa ka koneksyon sa WAN base sa MPLS L2/L3 VPN nga adunay gikasabutan nga QoS SLA - kung ang pagmarka sa DSCP sa trapiko sa BFD (pagkahuman sa encapsulation sa IPSec/GRE) motakdo sa taas nga prayoridad nga pila sa ang network sa telecom operator, nan kini mahimong makaapekto sa katukma ug katulin sa degradation detection alang sa ubos nga prayoridad nga trapiko. Sa parehas nga oras, posible nga usbon ang default nga pag-label sa BFD aron makunhuran ang peligro sa ingon nga mga sitwasyon. Sa umaabot nga mga bersyon sa Cisco SD-WAN software, gipaabot ang mas maayo nga mga setting sa BFD, ingon man ang abilidad sa paglansad sa daghang mga sesyon sa BFD sulod sa parehas nga tunel nga adunay indibidwal nga mga kantidad sa DSCP (para sa lainlaing mga aplikasyon).
Gitugotan ka usab sa BFD nga mabanabana ang labing kadaghan nga gidak-on sa pakete nga mapasa pinaagi sa usa ka partikular nga tunel nga wala’y pagkabahin. Kini nagtugot sa SD-WAN sa dinamikong pag-adjust sa mga parameter sama sa MTU ug TCP MSS Adjust aron mapahimuslan ang anaa nga bandwidth sa matag link.
Sa SD-WAN, ang kapilian sa pag-synchronize sa QoS gikan sa mga operator sa telecom magamit usab, dili lamang base sa mga natad sa L3 DSCP, apan gibase usab sa mga kantidad sa L2 CoS, nga mahimong awtomatiko nga mamugna sa network sa sanga pinaagi sa mga espesyal nga aparato - pananglitan, IP mga telepono

Sa unsang paagi magkalahi ang mga kapabilidad, pamaagi sa pagpasabot ug pagpadapat sa mga polisiya sa AppQ?

Mga Patakaran sa DMVPN/PfR:

Gihubit sa (mga) router sa sentral nga sanga pinaagi sa CLI command line o CLI configuration templates. Ang paghimo og mga template sa CLI nanginahanglan pag-andam ug kahibalo sa syntax sa palisiya.
Gihubit sa tibuok kalibutan nga wala’y posibilidad sa indibidwal nga pagsumpo / pagbag-o sa mga kinahanglanon sa indibidwal nga mga bahin sa network.
Ang interactive nga pagmugna sa palisiya wala gihatag sa graphical interface.
Ang pagsubay sa mga pagbag-o, pagpanunod, ug paghimo og daghang mga bersyon sa mga palisiya alang sa dali nga pagbalhin wala gihatag.
Awtomatikong giapod-apod sa mga router sa hilit nga mga sanga. Sa kini nga kaso, ang parehas nga mga channel sa komunikasyon gigamit ingon sa pagpadala sa datos sa tiggamit. Kung walay channel sa komunikasyon tali sa sentral ug hilit nga sanga, imposible ang pag-apod-apod / pagbag-o sa mga palisiya.
Gigamit kini sa matag router ug, kung gikinahanglan, usba ang resulta sa standard nga mga protocol sa pag-ruta, nga adunay mas taas nga prayoridad.
Para sa mga kaso diin ang tanang link sa WAN sa sanga makasinatig dakong pagkawala sa trapiko, walay gihatag nga mekanismo sa kompensasyon.

Mga Polisiya sa SD-WAN:

Gihubit sa vManage GUI pinaagi sa interactive template wizard.
Nagsuporta sa paghimo og daghang mga palisiya, pagkopya, pagpanunod, pagbalhin tali sa mga palisiya sa tinuud nga oras.
Nagsuporta sa indibidwal nga mga setting sa palisiya alang sa lainlaing mga bahin sa network (mga sanga)
Giapod-apod kini gamit ang bisan unsang magamit nga channel sa signal tali sa controller ug sa router ug / o vSmart - dili direkta nga magdepende sa koneksyon sa data-plane tali sa mga router. Kini, siyempre, nanginahanglan koneksyon sa IP tali sa router mismo ug sa mga controller.
Para sa mga kaso kung ang tanan nga magamit nga mga sanga sa usa ka sanga makasinati daghang mga pagkawala sa datos nga sobra sa madawat nga mga sukaranan alang sa mga kritikal nga aplikasyon, posible nga mogamit dugang nga mga mekanismo nga nagdugang kasaligan sa transmission:
- FEC (Forward Error Correction) - naggamit sa usa ka espesyal nga redundant coding algorithm. Kung nagpadala sa kritikal nga trapiko sa mga kanal nga adunay daghang porsyento sa mga pagkawala, ang FEC mahimong awtomatiko nga ma-aktibo ug gitugotan, kung kinahanglan, nga ibalik ang nawala nga bahin sa datos. Kini gamay nga nagdugang sa gigamit nga bandwidth sa transmission, apan labi nga nagpauswag sa kasaligan.
- Pagdoble sa mga stream sa datos – Dugang pa sa FEC, ang polisiya makahatag ug awtomatik nga pagdoble sa trapiko sa pinili nga mga aplikasyon sa higayon nga mas grabe pa ang lebel sa pagkawala nga dili mabayran sa FEC. Sa kini nga kaso, ang napili nga datos ipasa sa tanan nga mga tunnel padulong sa nakadawat nga sanga nga adunay sunod nga de-duplication (paghulog sa mga dugang nga kopya sa mga pakete). Ang mekanismo sa kamahinungdanon nagdugang sa paggamit sa channel, apan usab sa kamahinungdanon nagdugang sa transmission kasaligan.

Mga kapabilidad sa Cisco SD-WAN, nga wala direkta nga mga analogue sa DMVPN/PfR

Ang arkitektura sa Cisco SD-WAN nga solusyon sa pipila ka mga kaso nagtugot kanimo nga makakuha og mga kapabilidad nga mahimong lisud kaayo nga ipatuman sulod sa DMVPN/PfR, o dili praktikal tungod sa gikinahanglan nga gasto sa pagtrabaho, o hingpit nga imposible. Atong tan-awon ang labing makapaikag kanila:

Traffic-Engineering (TE)

Ang TE naglakip sa mga mekanismo nga nagtugot sa trapiko sa pagsabwag sa standard nga dalan nga naporma pinaagi sa routing protocols. Ang TE kanunay nga gigamit aron masiguro ang taas nga pagkaanaa sa mga serbisyo sa network, pinaagi sa abilidad nga dali ug / o aktibo nga pagbalhin sa kritikal nga trapiko sa usa ka alternatibo (disjoint) nga agianan sa transmission, aron masiguro ang labi ka maayo nga kalidad sa serbisyo o katulin sa pagkaayo kung adunay kapakyasan. sa nag-unang dalan.

Ang kalisud sa pagpatuman sa TE anaa sa panginahanglan sa pagkuwenta ug pagreserba (pagsusi) sa usa ka alternatibong agianan nga daan. Sa mga network sa MPLS sa mga telecom operator, kini nga problema nasulbad gamit ang mga teknolohiya sama sa MPLS Traffic-Engineering nga adunay mga extension sa IGP protocol ug RSVP protocol. Bag-o lang usab, ang teknolohiya sa Segment Routing, nga mas na-optimize para sa sentralisadong configuration ug orchestration, nahimong mas popular. Sa klasiko nga mga network sa WAN, kini nga mga teknolohiya sa kasagaran wala girepresentahan o gikunhuran sa paggamit sa mga mekanismo sa hop-by-hop sama sa Policy-Based Routing (PBR), nga makahimo sa pagsabwag sa trapiko, apan ipatuman kini sa matag router nga gilain - nga wala pagkuha. isipa ang kinatibuk-ang kahimtang sa network o resulta sa PBR sa nangagi o sunod nga mga lakang. Ang resulta sa paggamit niini nga mga opsyon sa TE makapahigawad - ang MPLS TE, tungod sa pagkakomplikado sa pagsumpo ug operasyon, gigamit, ingon nga usa ka lagda, lamang sa labing kritikal nga bahin sa network (kinauyokan), ug ang PBR gigamit sa indibidwal nga mga routers nga walay ang abilidad sa paghimo sa usa ka hiniusang polisiya sa PBR alang sa tibuok network. Dayag nga, kini magamit usab sa mga network nga nakabase sa DMVPN.

Ang SD-WAN niining bahina nagtanyag usa ka labi ka matahum nga solusyon nga dili lamang dali nga ma-configure, apan labi ka maayo ang mga timbangan. Resulta kini sa control-plane ug policy-plane architectures nga gigamit. Ang pagpatuman sa usa ka policy-plane sa SD-WAN nagtugot kanimo sa sentral nga paghubit sa polisiya sa TE - unsa nga trapiko ang interesado? alang sa unsa nga mga VPN? Sa unsang mga node/tunnel ang gikinahanglan o, sukwahi, gidid-an ang paghimog alternatibong ruta? Sa baylo, ang sentralisasyon sa control-plane management base sa vSmart controllers nagtugot kanimo sa pag-usab sa mga resulta sa routing nga dili modangop sa mga setting sa indibidwal nga mga himan - ang mga routers nakakita na lamang sa resulta sa logic nga namugna sa vManage interface ug gibalhin aron gamiton sa vSmart.

Serbisyo-chaining

Ang pagporma sa mga kadena sa serbisyo usa ka labi ka labi ka kusog sa pagtrabaho sa klasikal nga ruta kaysa sa gihulagway na nga mekanismo sa Traffic-Engineering. Sa tinuud, sa kini nga kaso, kinahanglan dili lamang paghimo usa ka espesyal nga ruta alang sa usa ka piho nga aplikasyon sa network, apan aron masiguro usab ang katakus nga makuha ang trapiko gikan sa network sa pila (o tanan) nga mga node sa network sa SD-WAN alang sa pagproseso pinaagi sa usa ka espesyal nga aplikasyon o serbisyo (Firewall, Balancing, Caching, Inspeksyon sa trapiko, ug uban pa). Sa parehas nga oras, kinahanglan nga makontrol ang kahimtang sa kini nga mga serbisyo sa gawas aron mapugngan ang mga kahimtang sa black-holing, ug gikinahanglan usab ang mga mekanismo nga nagtugot sa ingon nga mga serbisyo sa gawas sa parehas nga tipo nga ibutang sa lainlaing mga lokasyon sa geo. nga adunay katakus sa network nga awtomatiko nga mapili ang labing kamalaumon nga node sa serbisyo alang sa pagproseso sa trapiko sa usa ka partikular nga sanga. Sa kaso sa Cisco SD-WAN, kini sayon nga makab-ot pinaagi sa paghimo sa usa ka tukma nga sentralisadong polisiya nga "nagpapilit" sa tanan nga mga aspeto sa target nga kadena sa serbisyo ngadto sa usa ka tibuok ug awtomatik nga nag-usab sa data-plane ug control-plane logic lamang kung diin ug kung gikinahanglan.

Ang abilidad sa paghimo sa geo-apod-apod nga pagproseso sa trapiko sa pinili nga mga matang sa mga aplikasyon sa usa ka piho nga han-ay sa espesyal nga (apan dili nalangkit sa SD-WAN network sa iyang kaugalingon) nga mga ekipo mao tingali ang labing tin-aw nga pagpakita sa mga bentaha sa Cisco SD-WAN sa classic. mga teknolohiya ug bisan ang pipila ka alternatibo nga mga solusyon sa SD -WAN gikan sa ubang mga tiggama.

Unsa man ang sa katapusan?

Dayag, ang DMVPN (nga adunay o wala ang Performance Routing) ug Cisco SD-WAN matapos sa pagsulbad sa susama kaayo nga mga problema kalabot sa gipang-apod-apod nga WAN network sa organisasyon. Sa parehas nga oras, ang hinungdanon nga mga kalainan sa arkitektura ug gamit sa teknolohiya sa Cisco SD-WAN nagdala sa proseso sa pagsulbad sa kini nga mga problema. ngadto sa laing lebel sa kalidad. Sa pag-summarize, atong mamatikdan ang mosunod nga mahinungdanong kalainan tali sa SD-WAN ug DMVPN/PfR nga mga teknolohiya:

Ang DMVPN/PfR sa kinatibuk-an naggamit sa mga teknolohiya nga gisulayan sa panahon alang sa pagtukod sa mga overlay nga VPN network ug, sa mga termino sa data-plane, susama sa mas modernong teknolohiya sa SD-WAN, bisan pa niana, adunay daghang mga limitasyon sa porma sa usa ka mandatory static configuration. sa mga router ug ang pagpili sa mga topologies limitado sa Hub-n-Spoke. Sa laing bahin, ang DMVPN/PfR adunay pipila ka gamit nga wala pa magamit sulod sa SD-WAN (naghisgot kami bahin sa per-application BFD).
Sulod sa control-plane, ang mga teknolohiya lahi sa sukaranan. Gikonsiderar ang sentralisadong pagproseso sa mga protocol sa pagsenyas, gitugotan sa SD-WAN, labi na, nga makit-an ang mga kapakyasan nga domain ug "pag-decouple" ang proseso sa pagpadala sa trapiko sa gumagamit gikan sa interaksyon sa pagsenyas - ang temporaryo nga pagkawalay magamit sa mga controller dili makaapekto sa abilidad sa pagpadala sa trapiko sa gumagamit. . Sa samang higayon, ang temporaryo nga pagkawalay mahimo sa bisan unsang sanga (lakip ang sentro) dili sa bisan unsang paagi makaapekto sa abilidad sa ubang mga sanga nga makig-uban sa usag usa ug sa mga tigkontrol.
Ang arkitektura alang sa pagporma ug paggamit sa mga palisiya sa pagdumala sa trapiko sa kaso sa SD-WAN mao usab ang labaw sa nga sa DMVPN/PfR - geo-reservation mao ang mas maayo nga gipatuman, walay koneksyon sa Hub, adunay dugang nga mga oportunidad alang sa lino nga fino nga. -tuning nga mga palisiya, ang listahan sa gipatuman nga traffic management scenario mas dako usab.
Ang proseso sa orkestra sa solusyon lahi usab kaayo. Giangkon sa DMVPN ang presensya sa kaniadto nahibal-an nga mga parameter nga kinahanglan nga makita sa usa ka paagi sa pag-configure, nga medyo naglimite sa pagka-flexible sa solusyon ug ang posibilidad sa dinamikong mga pagbag-o. Sa baylo, ang SD-WAN gibase sa paradigm nga sa inisyal nga higayon sa koneksyon, ang router "wala'y nahibal-an bisan unsa" bahin sa mga controllers niini, apan nahibal-an "kung kinsa ang mahimo nimong pangutan-on" - igo na kini dili lamang aron awtomatiko nga matukod ang komunikasyon sa ang mga controllers, apan usab sa awtomatikong pagporma sa usa ka bug-os nga konektado data-eroplano topology, nga mahimo unya flexibly configured/usab sa paggamit sa mga palisiya.
Sa termino sa sentralisadong pagdumala, automation ug pag-monitor, ang SD-WAN gilauman nga molapas sa mga kapabilidad sa DMVPN/PfR, nga milambo gikan sa klasikal nga mga teknolohiya ug mas nagsalig sa CLI command line ug sa paggamit sa template-based NMS system.
Sa SD-WAN, kung itandi sa DMVPN, ang mga kinahanglanon sa seguridad nakaabot sa lahi nga lebel sa kwalitatibo. Ang nag-unang mga prinsipyo mao ang zero pagsalig, scalability ug duha ka hinungdan nga panghimatuud.

Kining yano nga mga konklusyon mahimong maghatag ug sayop nga impresyon nga ang paghimo ug network base sa DMVPN/PfR nawad-an sa tanang kalabotan karon. Kini siyempre dili hingpit nga tinuod. Pananglitan, sa mga kaso diin ang network naggamit sa daghang mga karaan nga kagamitan ug wala’y paagi aron mapulihan kini, ang DMVPN mahimong magtugot kanimo sa paghiusa sa "daan" ug "bag-o" nga mga aparato sa usa ka network nga giapod-apod sa geo nga adunay daghang mga bentaha nga gihulagway. sa ibabaw.

Sa laing bahin, kinahanglang hinumdoman nga ang tanang kasamtangang Cisco corporate routers base sa IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) karon nagsuporta sa bisan unsang operating mode - pareho nga classic routing ug DMVPN ug SD-WAN - ang pagpili determinado sa kasamtangan nga mga panginahanglan ug sa pagsabot nga sa bisan unsa nga higayon, sa paggamit sa sama nga mga ekipo, nga imong mahimo magsugod sa paglihok ngadto sa mas abante nga teknolohiya.

Source: www.habr.com

Maputol ba sa Cisco SD-WAN ang sanga diin naglingkod ang DMVPN?