ProHoster > Blog > Amministrazione > Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Dapoi l'aostu 2017, quandu Cisco hà acquistatu Viptela, a tecnulugia principale offerta per l'urganizazione di rete d'imprese distribuite hè diventata. Cisco SD-WAN. In l'ultimi anni 3, a tecnulugia SD-WAN hà passatu assai cambiamenti, sia qualitativi sia quantitativi. Cusì, a funziunalità hà sviluppatu significativamente è u supportu hè apparsu nantu à i routers classici di a serie Cisco ISR 1000, ISR 4000, ASR 1000 è Virtual CSR 1000v. À u listessu tempu, parechji clienti Cisco è partenarii cuntinueghjanu à dumandassi: chì sò e sferenze trà Cisco SD-WAN è approcci digià familiari basati nantu à tecnulugia cum'è Cisco DMVPN и Cisco Performance Routing è quantu impurtanti sò sti differenzi?

Quì duvemu immediatamente fà una riservazione chì prima di l'avventu di SD-WAN in a cartera Cisco, DMVPN inseme cù PfR formanu una parte chjave in l'architettura. Cisco IWAN (WAN intelligente), chì à u turnu era u predecessore di a tecnulugia SD-WAN cumpleta. Malgradu a similitudine generale di i travaglii chì sò risolti è di i metudi per risolve, IWAN ùn hà mai ricevutu u livellu d'automatizazione, flessibilità è scalabilità necessaria per SD-WAN, è cù u tempu, u sviluppu di IWAN hè diminuitu significativamente. À u listessu tempu, i tecnulugii chì custituiscenu IWAN ùn sò micca andati, è parechji clienti cuntinueghjanu à aduprà cù successu, ancu nantu à l'equipaggiu mudernu. In u risultatu, hè stata una situazione interessante - u stessu equipamentu Cisco permette di sceglie a tecnulugia WAN più adatta (classica, DMVPN + PfR o SD-WAN) in cunfurmità cù i bisogni è l'aspettattivi di i clienti.

L'articulu ùn hà micca intenzione di analizà in dettaglio tutte e caratteristiche di e tecnulugia Cisco SD-WAN è DMVPN (cù o senza Performance Routing) - ci hè una quantità enorme di documenti è materiali dispunibili per questu. U compitu principalu hè di pruvà à valutà e differenze chjave trà sti tecnulugia. Ma prima di passà à discussione di sti diffirenzii, ricurdemu brevemente e tecnulugia stesse.

Cosa hè Cisco DMVPN è perchè hè necessariu?

Cisco DMVPN risolve u prublema di cunnessione dinamica (= scalable) di una reta di filiale remota à a reta di l'uffiziu cintrali di una impresa quandu utilizate tipi arbitrarii di canali di cumunicazione, cumpresu l'Internet (= cù criptografia di u canali di cumunicazione). Tecnicamente, questu hè realizatu da a creazione di una reta overlay virtualizzata di a classa VPN L3 in modu puntu à multipuntu cù una topologia logica di u tipu "Star" (Hub-n-Spoke). Per ottene questu, DMVPN usa una cumminazione di e seguenti tecnulugia:

  • routing IP
  • Tunnel GRE multipuntu (mGRE)
  • Protokollu di Risoluzione Next Hop (NHRP)
  • Profili IPSec Crypto

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Chì sò i vantaghji principali di Cisco DMVPN cumparatu cù u routing classicu cù i canali MPLS VPN?

  • Per creà una rete interbranch, hè pussibule di utilizà qualsiasi canali di cumunicazione - tuttu ciò chì pò furnisce a cunnessione IP trà e branche hè adattatu, mentre chì u trafficu serà criptatu (induve necessariu) è equilibratu (induve pussibule)
  • Una topulugia cumpletamente cunnessa trà e branche hè furmatu automaticamente. In questu casu, ci sò tunnelli statici trà i rami cintrali è remoti, è tunnelli dinamichi nantu à dumanda trà e rami remoti (se ci hè trafficu)
  • I routers di u ramu cintrali è remoti anu a listessa cunfigurazione finu à l'indirizzi IP di l'interfaccia. Utilizendu mGRE, ùn ci hè micca bisognu di cunfigurà individualmente decine, centinaie, o ancu millaie di tunnel. In u risultatu, scalabilità decente cù u disignu ghjustu.

Cosa hè Cisco Performance Routing è perchè hè necessariu?

Quandu si usa DMVPN in una rete interbranch, una quistione estremamente impurtante resta senza risolve - cumu valutà dinamicamente u statu di ognuna di i tunnel DMVPN per u rispettu di i requisiti di trafficu criticu per a nostra urganizazione è, dinò, basatu annantu à una tale valutazione, fà dinamicamente. una decisione nantu à u rerouting? U fattu hè chì DMVPN in questa parte difiere pocu da u routing classicu - u megliu chì pò esse fattu hè di cunfigurà miccanismi di QoS chì vi permettenu di prioritizà u trafficu in a direzzione di uscita, ma ùn sò in alcun modu capaci di piglià in contu u statu di tutta a strada à un tempu o un altru.

E chì fà se u canali si degrada parzialmente è micca cumplettamente - cumu detectà è valutà questu? DMVPN stessu ùn pò micca fà questu. In cunsiderà chì i canali chì cunnettanu i rami ponu passà per operatori di telecomunicazioni completamente differenti, utilizendu tecnulugie completamente diverse, sta attività diventa estremamente micca triviale. È questu hè induve a tecnulugia Cisco Performance Routing vene in salvezza, chì da quellu tempu avia digià passatu per parechje tappe di sviluppu.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

U compitu di Cisco Performance Routing (in seguitu PfR) si riduce à a misurazione di u statu di i percorsi (tunnel) di u trafficu basatu annantu à metriche chjave impurtanti per l'applicazioni di rete - latenza, variazione di latenza (jitter) è perdita di pacchetti (percentuale). Inoltre, a larghezza di banda utilizata pò esse misurata. Queste misurazioni sò più vicinu à u tempu reale pussibule è ghjustificate, è u risultatu di sti misurazioni permette à u router chì usa PfR per piglià dinamicamente decisioni nantu à a necessità di cambià l'itinerariu di questu o quellu tipu di trafficu.

Cusì, u compitu di a cumminazzioni DMVPN / PfR pò esse brevemente descrittu cum'è seguente:

  • Permette à u cliente di utilizà qualsiasi canali di cumunicazione in a reta WAN
  • Assicurà a più alta qualità pussibule di l'applicazioni critiche in questi canali

Cosa hè Cisco SD-WAN?

Cisco SD-WAN hè una tecnulugia chì usa l'approcciu SDN per creà è operà a rete WAN di una urganizazione. Questu in particulare significa l'usu di i cuntrolli chjamati (elementi di software), chì furnisce l'orchestrazione centralizata è a cunfigurazione automatizata di tutti i cumpunenti di suluzione. A cuntrariu di u SDN canonicu (stile Clean Slate), Cisco SD-WAN usa parechji tippi di cuntrolli, ognuna di quale svolge u so propiu rolu - questu hè statu fattu intenzionalmente per furnisce una scalabilità è geo-redundancy megliu.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

In u casu di SD-WAN, u compitu di utilizà ogni tipu di canali è di assicurà l'operazione di l'applicazioni cummerciale ferma u listessu, ma à u listessu tempu, i requisiti per l'automatizazione, l'scalabilità, a sicurità è a flessibilità di una tale rete si allarganu.

Discussione di diffirenzii

Sè avà cuminciamu à analizà e differenze trà sti tecnulugii, caderanu in una di e seguenti categurie:

  • Differenze architettoniche - cumu sò e funzioni distribuite in diversi cumpunenti di a suluzione, cumu hè l'interazzione di tali cumpunenti urganizata, è cumu si affettanu e capacità è a flessibilità di a tecnulugia?
  • Funzionalità - chì pò fà una tecnulugia chì l'altru ùn pò micca? È hè veramente cusì impurtante?

Chì sò e differenze architettoniche è sò impurtanti?

Ciascuna di sti tecnulugii hà assai "parti in muvimentu" chì ùn sò micca solu in u so rolu, ma ancu in a manera chì interagiscenu cù l'altri. Quantu questi principii sò pensati è a meccanica generale di a suluzione determina direttamente a so scalabilità, a tolleranza di difetti è l'efficienza generale.

Fighjemu i diversi aspetti di l'architettura in più detail:

Pianu di dati - parte di a suluzione rispunsevuli di trasmette u trafficu di l'utilizatori trà a fonte è u destinatariu. DMVPN è SD-WAN sò implementati generalmente in modu identicu nantu à i routers stessi basati in tunnelli GRE Multipoint. A diferenza hè cumu si forma u settore necessariu di parametri per questi tunnel:

  • в DMVPN/PfR hè una ghjerarchia esclusivamente à dui livelli di nodi cù una topologia Star o Hub-n-Spoke. A cunfigurazione statica di u Hub è l'associazione statica di Spoke à u Hub sò richieste, è ancu l'interazzione via u protocolu NHRP per furmà a connettività di u pianu di dati. In cunseguenza, rendendu cambiamenti à u Hub significativamente più difficililegatu, per esempiu, à cambià / cunnette novi canali WAN o cambià i paràmetri di quelli esistenti.
  • в SD WAN hè un mudellu cumplettamente dinamicu per a rilevazione di i paràmetri di i tunnelli installati basatu nantu à u pianu di cuntrollu (protokollu OMP) è u pianu d'orchestrazione (interazione cù u controller vBond per a rilevazione di u controller è i travaglii di traversal NAT). In questu casu, ogni topulugia superposta pò esse usata, cumpresi i gerarchichi. Dentru a topologia di u tunnel di sovrapposizione stabilita, a cunfigurazione flessibile di a topologia logica in ogni VPN individuale (VRF) hè pussibule.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Pianu di cuntrollu - funzioni di scambiu, filtrazione è mudificazione di routing è altre informazioni trà cumpunenti di suluzione.

  • в DMVPN/PfR - realizatu solu trà i router Hub è Spoke. U scambiu direttu di infurmazione di routing trà Spokes ùn hè micca pussibule. In cunseguenza, Senza un Hub chì funziona, u pianu di cuntrollu è u pianu di dati ùn ponu micca funziona, chì impone esigenze supplementari d'alta dispunibilità à u Hub chì ùn pò micca sempre esse cumpletu.
  • в SD WAN - u pianu di cuntrollu ùn hè mai realizatu direttamente trà i routers - l'interazzione si trova nantu à a basa di u protocolu OMP è hè necessariamente realizatu per mezu di un tippu specializatu separatu di controller vSmart, chì furnisce a pussibilità di equilibriu, geo-riservazione è cuntrollu centralizatu di u cuntrollu. carica di signale. Una altra caratteristica di u protokollu OMP hè a so resistenza significativa à i perditi è l'indipendenza da a velocità di u canali di cumunicazione cù i cuntrolli (in limiti ragiunate, sicuru). Chì permette ugualmente successu di mette i controller SD-WAN in nuvuli publichi o privati ​​cù accessu via Internet.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Pulitica-pianu - parte di a suluzione rispunsevuli di definisce, distribuisce è applicà e pulitiche di gestione di u trafficu in una reta distribuita.

  • DMVPN - hè effettivamente limitatu da e pulitiche di qualità di serviziu (QoS) cunfigurate individualmente in ogni router via i mudelli CLI o Prime Infrastructure.
  • DMVPN/PfR - E pulitiche PfR sò furmate nantu à u router centralizatu di u Master Controller (MC) via a CLI è poi distribuite automaticamente à i branch MCs. In questu casu, i stessi camini di trasferimentu di pulitica sò usati cum'è per u pianu di dati. Ùn ci hè micca pussibilità di separà u scambiu di pulitiche, l'infurmazioni di routing è i dati di l'utilizatori. A propagazione di a pulitica richiede a presenza di cunnessione IP trà u Hub è u Spoke. In questu casu, a funzione MC pò, se ne necessariu, esse cumminata cù un router DMVPN. Hè pussibule (ma micca necessariu) aduprà mudelli Prime Infrastructure per a generazione di pulitica centralizzata. Una caratteristica impurtante hè chì a pulitica hè furmata globalmente in tutta a reta in u listessu modu - E pulitiche individuali per i segmenti individuali ùn sò micca supportati.
  • SD WAN - A gestione di u trafficu è a qualità di e pulitiche di serviziu sò determinate cintrali attraversu l'interfaccia grafica Cisco vManage, accessibile ancu via Internet (se necessariu). Sò distribuiti per i canali di signalazione direttamente o indirettu per i cuntrolli vSmart (secondu u tipu di pulitica). Ùn dipende micca da a cunnessione di u pianu di dati trà i routers, perchè Aduprate tutti i percorsi di trafficu dispunibili trà u controller è u router.

    Per diversi segmenti di rete, hè pussibule di furmulà diverse pulitiche in modu flessibile - u scopu di a pulitica hè determinata da parechji identificatori unichi furniti in a suluzione - u numeru di filiale, u tipu d'applicazione, a direzzione di u trafficu, etc.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Pianu d'orchestrazione - meccanismi chì permettenu à i cumpunenti di detectà dinamicamente l'un l'altru, cunfigurà è coordinendu l'interazzioni successivi.

  • в DMVPN/PfR A scuperta mutuale trà i routers hè basatu annantu à a cunfigurazione statica di i dispositi Hub è a cunfigurazione currispondente di i dispositi Spoke. A scuperta dinamica si trova solu per Spoke, chì informa i so paràmetri di cunnessione Hub à u dispusitivu, chì à u turnu hè pre-configuratu cù Spoke. Senza a cunnessione IP trà Spoke è almenu un Hub, hè impussibile di furmà un pianu di dati o un pianu di cuntrollu.
  • в SD WAN L'orchestrazione di cumpunenti di suluzione si faci cù u controller vBond, cù quale ogni cumpunente (routers è controller vManage / vSmart) deve prima stabilisce a cunnessione IP.

    In principiu, i cumpunenti ùn sanu micca di i paràmetri di cunnessione di l'altri - per questu anu bisognu di l'orchestratore intermediariu vBond. U principiu generale hè u seguitu - ogni cumpunente in a fase iniziale impara (automaticamente o staticamente) solu nantu à i paràmetri di cunnessione à vBond, dopu vBond informa u router nantu à i controller vManage è vSmart (scupertu prima), chì permette di stabilisce automaticamente automaticamente. tutte e cunnessione di signalazione necessarie.

    U prossimu passu hè per u novu router per sapè nantu à l'altri routers nantu à a reta per a cumunicazione OMP cù u controller vSmart. Cusì, u router, senza inizialmente sapè nunda in tuttu di i paràmetri di a rete, hè capaci di detectà automaticamente automaticamente è cunnetta à i cuntrolli è poi ancu automaticamente detectà è formanu cunnessione cù altri routers. In questu casu, i paràmetri di cunnessione di tutti i cumpunenti sò inizialmente scunnisciuti è ponu cambià durante l'operazione.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Management-pianu - parte di a suluzione chì furnisce a gestione è u monitoraghju centralizzati.

  • DMVPN/PfR - ùn hè micca furnita una soluzione di gestione specializata. Per l'automatizazione basica è u monitoraghju, i prudutti cum'è Cisco Prime Infrastructure ponu esse utilizati. Ogni router hà a capacità di esse cuntrullata via a linea di cummanda CLI. L'integrazione cù sistemi esterni via API ùn hè micca furnita.
  • SD WAN - Tutta l'interazzione regulare è u monitoraghju hè realizatu cintrali attraversu l'interfaccia grafica di u controller vManage. Tutte e funzioni di a suluzione, senza eccezzioni, sò dispunibuli per a cunfigurazione attraversu vManage, è ancu attraversu una biblioteca API REST cumplettamente documentata.

    Tutti i paràmetri di a rete SD-WAN in vManage venenu à dui custruzzioni principali - a furmazione di mudelli di u dispositivu (Device Template) è a furmazione di una pulitica chì determina a logica di l'operazione di a rete è u prucessu di trafficu. À u listessu tempu, vManage, chì trasmette a pulitica generata da l'amministratore, selezziunate automaticamente quali cambiamenti è nantu à quale dispositi / controller individuali deve esse fattu, chì aumenta significativamente l'efficienza è a scalabilità di a suluzione.

    Attraversu l'interfaccia vManage, ùn hè micca solu a cunfigurazione di a suluzione Cisco SD-WAN hè dispunibule, ma ancu u monitoraghju cumpletu di u statutu di tutti i cumpunenti di a suluzione, finu à u statu attuale di metriche per tunnelli individuali è statistiche nantu à l'usu di diverse applicazioni. basatu annantu à l'analisi DPI.

    Malgradu a centralizazione di l'interazzione, tutti i cumpunenti (controllers è routers) anu ancu una linea di cummanda CLI cumplettamente funziunale, chì hè necessariu in u stadiu di implementazione o in casu d'emergenza per diagnostichi lucali. In u modu normale (se ci hè un canale di signalazione trà cumpunenti) nantu à i routers, a linea di cumanda hè dispunibule solu per diagnostichi è ùn hè micca dispunibule per fà cambiamenti lucali, chì guarantisci a sicurità lucale è l'unica fonte di cambiamenti in una tale rete hè vManage.

Sicurezza Integrata - quì ùn parlemu micca solu di a prutezzione di i dati di l'utilizatori quandu sò trasmessi nantu à i canali aperti, ma ancu di a sicurità generale di a rete WAN basatu nantu à a tecnulugia scelta.

  • в DMVPN/PfR Hè pussibule di criptà i dati di l'utilizatori è i protokolli di signalazione. Quandu si usanu certi mudelli di router, funzioni di firewall cù inspezione di trafficu, IPS / IDS sò ancu dispunibili. Hè pussibule di segmentà e rete di filiale cù VRF. Hè pussibule autentificà i protokolli di cuntrollu (un fattore).

    In questu casu, u router remota hè cunsideratu un elementu di fiducia di a reta per difettu - i.e. i casi di cumprumissu fisicu di i dispusitivi individuali è a pussibilità di l'accessu micca autorizatu à elli ùn sò micca presunti o pigliati in contu; ùn ci hè micca autentificazione à dui fattori di cumpunenti di suluzione, chì in u casu di una rete distribuita geograficamente. pò purtà un significativu risichi supplementari.

  • в SD WAN per analogia cù DMVPN, a capacità di criptà i dati di l'utilizatori hè furnita, ma cù una sicurezza di rete significativamente ampliata è funzioni di segmentazione L3 / VRF (firewall, IPS / IDS, filtrazione URL, filtrazione DNS, AMP / TG, SASE, proxy TLS / SSL, ecc.) d.). À u listessu tempu, u scambiu di chjavi di criptografia hè realizatu in modu più efficau per i cuntrolli vSmart (piuttostu cà direttamente), per mezu di canali di signalazione pre-stabiliti prutetti da criptografia DTLS / TLS basatu nantu à certificati di sicurezza. Chì à u turnu guarantisci a sicurità di tali scambii è assicura una scalabilità megliu di a suluzione finu à decine di millaie di dispusitivi nantu à a stessa reta.

    Tutte e cunnessione di signalazione (controller-to-controller, controller-router) sò ancu prutetti nantu à DTLS / TLS. I routers sò dotati di certificati di sicurezza durante a produzzione cù a pussibilità di rimpiazzamentu / estensione. L'autenticazione à dui fattori hè ottenuta per mezu di u cumplimentu obligatoriu è simultaneo di duie cundizioni per u router / controller per funziunà in una rete SD-WAN:

    • Certificatu di sicurità validu
    • Inclusione esplicita è cuscente da l'amministratore di ogni cumpunente in a lista "bianca" di i dispositi permessi.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Differenze funzionali trà SD-WAN è DMVPN/PfR

Passendu à discussione di e differenzi funziunali, deve esse nutatu chì parechji di elli sò una continuazione di quelli architettoniali - ùn hè micca sicretu chì quandu si formanu l'architettura di una suluzione, i sviluppatori partenu da e capacità chì volenu ottene à a fine. Fighjemu e differenze più impurtanti trà e duie tecnulugia.

AppQ (Application Quality) - funzioni per assicurà a qualità di trasmissione di u trafficu di l'applicazioni cummerciale

E funzioni chjave di e tecnulugia in cunsiderà sò destinate à migliurà l'esperienza di l'utilizatori quant'è pussibule quandu si usanu applicazioni critiche per l'affari in una rete distribuita. Questu hè soprattuttu impurtante in e cundizioni induve una parte di l'infrastruttura ùn hè micca cuntrullata da l'IT o ùn guarantisci ancu u trasferimentu di dati successu.

DMVPN ùn furnisce micca tali miccanismi. U megliu chì pò esse fattu in una reta classica DMVPN hè di classificà u trafficu in uscita per l'applicazione è di priorità quandu si trasmette versu u canali WAN. L'scelta di un tunnel DMVPN hè determinata in questu casu solu da a so dispunibilità è u risultatu di l'operazione di protokolli di routing. À u listessu tempu, u statu end-to-end di u percorsu / tunnel è a so degradazione parziale pussibule ùn sò micca cunsiderati in quantu à metriche chjave chì sò significativu per l'applicazioni di rete - ritardu, variazione di ritardu (jitter) è perdite (% ). ). In stu riguardu, direttamente paragunà DMVPN classicu cù SD-WAN in termini di risolviri prublemi AppQ perde ogni significatu - DMVPN ùn pò scioglie stu prublema. Quandu aghjunghje a tecnulugia Cisco Performance Routing (PfR) in questu cuntestu, a situazione cambia è u paragone cù Cisco SD-WAN diventa più significativu.

Prima di discutiri e differenze, eccu un rapidu sguardu à cumu e tecnulugia sò simili. Dunque, e duie tecnulugia:

  • avè un mecanismu chì permette di valutà dinamicamente u statu di ogni tunnel stabilitu in quantu à certi metrichi - à u minimu, ritardu, variazione di ritardu è perdita di pacchetti (%)
  • Aduprà un settore specificu di strumenti per furmà, distribuisce è applicà e regule di gestione di u trafficu (pulitiche), tenendu in contu i risultati di a misurazione di u statu di e metriche chjave di u tunnel.
  • classificà u trafficu di l'applicazioni à i livelli L3-L4 (DSCP) di u mudellu OSI o da e firme di l'applicazione L7 basate nantu à i meccanismi DPI integrati in u router
  • Per l'applicazioni significativu, permettenu di determinà i valori di soglia accettabili di metrica, e regule per a trasmissione di u trafficu per automaticamente, è e regule per a redirezzione di u trafficu quandu i valori di soglia sò superati.
  • Quandu incapsulate u trafficu in GRE / IPSec, utilizanu u mecanismu di l'industria digià stabilitu per u trasferimentu di marcatura interna DSCP à l'intestazione di pacchettu GRE / IPSEC esternu, chì permette di sincronizà e pulitiche QoS di l'urganizazione è l'operatore di telecomunicazione (se ci hè un SLA appropritatu) .

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

Cume sò e metriche end-to-end SD-WAN è DMVPN/PfR sò diffirenti?

DMVPN/PfR

  • I sensori di software attivi è passivi (Probes) sò usati per valutà e metriche standard di salute di u tunnel. I attivi sò basati nantu à u trafficu di l'utilizatori, i passivi emulanu tali trafficu (in a so assenza).
  • Ùn ci hè micca fine-tuning di i timers è e cundizioni di rilevazione di degradazione - l'algoritmu hè fissu.
  • Inoltre, a misurazione di a larghezza di banda utilizata in a direzzione in uscita hè dispunibule. Chì aghjunghje una flessibilità supplementaria di gestione di u trafficu à DMVPN / PfR.
  • À u listessu tempu, certi meccanismi PfR, quandu i metrici sò superati, s'appoghjanu nantu à a signalazione di feedback in forma di messagi TCA (Threshold Crossing Alert) speciale chì deve vene da u destinatariu di u trafficu versu a fonte, chì à u turnu assume chì u statu i canali misurati duveranu esse almenu abbastanza per a trasmissione di tali missaghji TCA. Chì in a maiò parte di i casi ùn hè micca un prublema, ma ovviamente ùn pò esse garantitu.

SD WAN

  • Per a valutazione end-to-end di e metriche standard di u statu di u tunnel, u protocolu BFD hè utilizatu in modu di eco. In questu casu, un feedback speciale in forma di TCA o messagi simili ùn hè micca necessariu - l'isolamentu di i domini di fallimentu hè mantinutu. Ùn hè ancu bisognu di a presenza di u trafficu di l'utilizatori per evaluà u statu di u tunnel.
  • Hè pussibule affinà i timers BFD per regulà a velocità di risposta è a sensibilità di l'algoritmu à a degradazione di u canali di cumunicazione da parechji sicondi à minuti.

    Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

  • À u mumentu di a scrittura, ci hè solu una sessione BFD in ogni tunnel. Questu potenzalmentu crea menu granularità in l'analisi di u statu di u tunnel. In realtà, questu pò esse diventatu solu una limitazione se utilizate una cunnessione WAN basata in MPLS L2 / L3 VPN cun un QoS SLA accunsentutu - se u marcatu DSCP di u trafficu BFD (dopu à l'encapsulazione in IPSec / GRE) currisponde à a fila d'alta priorità in a reta di l'operatore di telecomunicazioni, allora questu pò influenzà a precisione è a rapidità di a rilevazione di degradazione per u trafficu di priorità bassa. À u listessu tempu, hè pussibule cambià l'etichettatura BFD predeterminata per riduce u risicu di tali situazioni. In e versioni future di u software Cisco SD-WAN, sò previsti paràmetri BFD più sintonizzati, è ancu a capacità di lancià più sessioni BFD in u stessu tunnel cù valori DSCP individuali (per diverse applicazioni).
  • BFD permette ancu di stimà a dimensione massima di u pacchettu chì pò esse trasmessa attraversu un tunnel particulare senza frammentazione. Questu permette à SD-WAN per aghjustà dinamicamente paràmetri cum'è MTU è TCP MSS Adjust per sfruttà a maiò parte di a larghezza di banda dispunibule nantu à ogni ligame.
  • In SD-WAN, l'opzione di sincronizazione QoS da l'operatori di telecomunicazioni hè ancu dispunibule, micca solu basatu nantu à i campi L3 DSCP, ma ancu basatu nantu à i valori L2 CoS, chì ponu esse generati automaticamente in a reta di filiale da i dispositi specializati - per esempiu, IP. telefoni

Cumu e capacità, i metudi di definisce è di applicà e pulitiche AppQ sò diffirenti?

Politiche DMVPN/PfR:

  • Definitu nantu à u router (s) di a filiera centrale via a linea di cummanda CLI o mudelli di cunfigurazione CLI. A generazione di mudelli CLI richiede preparazione è cunniscenza di sintassi di pulitica.

    Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

  • Definitu globalmente senza a pussibilità di cunfigurazione individuale / cambià à i bisogni di i segmenti di rete individuali.
  • A generazione di pulitica interattiva ùn hè micca furnita in l'interfaccia grafica.
  • U seguimentu di i cambiamenti, l'eredità è a creazione di più versioni di pulitiche per u cambiamentu rapidu ùn sò micca furniti.
  • Distribuitu automaticamente à i routers di rami remoti. In questu casu, i stessi canali di cumunicazione sò usati per a trasmissione di dati d'utilizatori. Se ùn ci hè micca un canale di cumunicazione trà u ramu cintrali è remoto, a distribuzione / cambiamentu di pulitiche hè impussibile.
  • Sò usati nantu à ogni router è, se ne necessariu, mudificà u risultatu di protokolli di routing standard, avè una priorità più alta.
  • Per i casi induve tutti i ligami WAN di filiale sperimentanu una perdita significativa di trafficu, nisun mecanismu di compensazione furnitu.

Politiche SD-WAN:

  • Definitu in a GUI vManage attraversu l'assistente di mudellu interattivu.
  • Supporta a creazione di più pulitiche, a copia, l'eredi, u cambiamentu trà e pulitiche in tempu reale.
  • Supporta i paràmetri di pulitica individuale per diversi segmenti di rete (rami)
  • Sò distribuiti utilizendu qualsiasi canale di signale dispunibule trà u controller è u router è / o vSmart - ùn dipende micca direttamente da a cunnessione di u pianu di dati trà i routers. Questu, sicuru, esige una cunnessione IP trà u router stessu è i cuntrolli.

    Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

  • Per i casi chì tutti i rami dispunibuli di una filiera sperimentanu perditi di dati significativi chì superanu i limiti accettabili per l'applicazioni critiche, hè pussibule aduprà meccanismi supplementari chì aumentanu l'affidabilità di a trasmissione:
    • FEC (Correzione di errore in avanti) - usa un algoritmu speciale di codificazione redundante. Quandu trasmette u trafficu criticu nantu à i canali cù un percentinu significativu di pèrdite, FEC pò esse attivatu automaticamente è permette, se ne necessariu, di restaurà a parte persa di e dati. Questu aumenta ligeramente a larghezza di banda di trasmissione utilizata, ma migliora significativamente l'affidabilità.

      Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

    • Duplicazione di flussi di dati - In più di FEC, a pulitica pò furnisce una duplicazione automatica di u trafficu di l'applicazioni selezziunate in casu di un livellu ancu più seriu di perdite chì ùn ponu micca esse cumpensu da FEC. In questu casu, i dati selezziunati seranu trasmessi à traversu tutti i tunnel versu u ramu di ricezione cù a deduplicazione sussegwente (abbandunà e copie extra di pacchetti). U mecanismu aumenta significativamente l'utilizazione di u canali, ma ancu aumenta significativamente l'affidabilità di a trasmissione.

Capacità Cisco SD-WAN, senza analoghi diretti in DMVPN/PfR

L'architettura di a suluzione Cisco SD-WAN in certi casi permette di ottene capacità chì sò o estremamente difficiuli di implementà in DMVPN / PfR, o sò impraticabili per via di i costi di travagliu richiesti, o sò completamente impussibili. Fighjemu i più interessanti di elli:

Ingegneria di u trafficu (TE)

TE include miccanismi chì permettenu à u trafficu di ramificà u percorsu standard furmatu da i protokolli di routing. TE hè spessu usatu per assicurà una alta dispunibilità di servizii di rete, per mezu di a capacità di trasferisce rapidamente è / o proattivamente u trafficu criticu à una strada di trasmissione alternativa (disjoint), per assicurà una migliore qualità di serviziu o velocità di ricuperazione in casu di fallimentu. nantu à a strada principale.

A difficultà à implementà TE si trova in a necessità di calculà è riservà (verificà) una strada alternativa in anticipu. In e rete MPLS di l'operatori di telecomunicazioni, stu prublema hè risolta cù tecnulugia cum'è MPLS Traffic-Engineering cù estensioni di i protokolli IGP è u protokollu RSVP. Ancu di pocu tempu, a tecnulugia di Segment Routing, chì hè più ottimizzata per a cunfigurazione è l'orchestrazione centralizzata, hè diventata sempre più populari. In e rete WAN classic, sti tecnulugii sò generalmente micca rapprisintati o sò ridotti à l'usu di meccanismi hop-by-hop cum'è Policy-Based Routing (PBR), chì sò capaci di ramificà u trafficu, ma implementanu questu in ogni router separatamente - senza piglià. in cunsiderà u statu generale di a reta o PBR risultatu in i passi precedenti o successivi. U risultatu di l'usu di l'opzioni TE hè deludente - MPLS TE, per via di a cumplessità di a cunfigurazione è u funziunamentu, hè utilizatu, in regula, solu in a parte più critica di a reta (core), è PBR hè utilizatu in routers individuali senza. a capacità di creà una pulitica PBR unificata per tutta a reta. Ovviamente, questu hè ancu applicatu à e rete basate in DMVPN.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

SD-WAN in questu sensu offre una soluzione assai più elegante chì ùn hè micca solu faciule da cunfigurà, ma ancu scala assai megliu. Questu hè u risultatu di l'architetture di u pianu di cuntrollu è di a pulitica utilizata. L'implementazione di un pianu di pulitica in SD-WAN permette di definisce cintrali a pulitica TE - chì u trafficu hè d'interessu? per quale VPN? Per mezu di quali nodi/tunnel hè necessariu o, à u cuntrariu, pruibitu di furmà una strada alternativa? A so volta, a centralizazione di a gestione di u pianu di cuntrollu basatu nantu à i cuntrolli vSmart permette di mudificà i risultati di u routing senza ricorrere à i paràmetri di i dispositi individuali - i routers vedenu digià solu u risultatu di a logica chì hè stata generata in l'interfaccia vManage è trasferita per l'utilizazione. vSmart.

Service-chaining

A furmazione di catene di serviziu hè un compitu ancu più intensivu di travagliu in u routing classicu chì u mecanismu di Traffic-Engineering digià descrittu. Infatti, in questu casu, hè necessariu micca solu di creà una strada speciale per una applicazione di rete specifica, ma ancu di assicurà a capacità di sguassà u trafficu da a reta nantu à certi (o tutti) nodi di a reta SD-WAN per u processu da a rete. una applicazione o serviziu speciale (Firewall, Balancing, Caching, Inspection traffic, etc.). À u listessu tempu, ci vole à pudè cuntrullà u statu di sti servizii esterni in modu à impedisce situazioni di black-holing, è i miccanismi sò dinù nicissarii chì permettenu tali servizii esterni di u listessu tipu à esse piazzatu in differente geo-location. cù a capacità di a reta di selezziunà automaticamente u nodu di serviziu più ottimali per processà u trafficu di una filiera particulare. In u casu di Cisco SD-WAN, questu hè abbastanza faciule d'ottene creendu una pulitica centralizzata adatta chì "colle" tutti l'aspetti di a catena di serviziu di destinazione in un unicu tutale è cambia automaticamente a logica di u pianu di dati è di u pianu di cuntrollu solu induve. è quandu hè necessariu.

Cisco SD-WAN tagliarà u ramu nantu à quale si trova DMVPN?

A capacità di creà un processamentu geo-distribuitu di u trafficu di i tipi selezziunati d'applicazioni in una certa sequenza nantu à l'equipaggiu specializatu (ma micca in relazione cù a reta SD-WAN stessu) hè forse a manifestazione più chjara di i vantaghji di Cisco SD-WAN sopra u classicu. tecnulugii è ancu qualchi suluzione alternativa SD -WAN da altri Manufacturers.

Ciò à a fine?

Ovviamente, tramindui DMVPN (cù o senza Performance Routing) è Cisco SD-WAN finiscinu per risolve prublemi assai simili in relazione à a reta WAN distribuita di l'urganizazione. À u listessu tempu, differenze architettoniche è funziunali significative in a tecnulugia Cisco SD-WAN portanu à u prucessu di risolve questi prublemi. à un altru livellu di qualità. Per sintetizà, pudemu nutà e seguenti differenze significative trà e tecnulugia SD-WAN è DMVPN / PfR:

  • DMVPN / PfR in generale usanu tecnulugie testate in u tempu per a custruzzione di rete VPN overlay è, in quantu à u pianu di dati, sò simili à a tecnulugia SD-WAN più moderna, in ogni modu, ci sò una quantità di limitazioni in a forma di una cunfigurazione statica obligatoria. di routers è a scelta di topologies hè limitata à Hub-n-Spoke. Per d 'altra banda, DMVPN / PfR hà qualchì funziunalità chì ùn hè ancu dispunibule in SD-WAN (parlemu di BFD per applicazione).
  • In u pianu di cuntrollu, i tecnulugii sò diffirenti fundamentalmente. In cunsiderà u processu centralizatu di i protokolli di signalazione, SD-WAN permette, in particulare, di ristrettu significativamente i domini di fallimentu è di "disacoppià" u prucessu di trasmissione di u trafficu di l'utilizatori da l'interazzione di signalazione - a indisponibilità temporale di i cuntrolli ùn affetta micca a capacità di trasmette u trafficu di l'utilizatori. . À u listessu tempu, l'indisponibilità temporale di ogni ramu (cumpresu a cintrali) ùn affetta micca in ogni modu a capacità di l'altri rami per interagisce cù l'altri è i cuntrolli.
  • L'architettura per a furmazione è l'applicazione di e pulitiche di gestione di u trafficu in u casu di SD-WAN hè ancu superiore à quella in DMVPN / PfR - a geo-riservazione hè assai megliu implementata, ùn ci hè micca cunnessione cù u Hub, ci sò più opportunità per fine. -tuning pulitiche, a lista di scenarii di gestione di trafficu implementati hè ancu assai più grande.
  • U prucessu di orchestrazione di suluzione hè ancu significativamente sfarente. DMVPN assume a prisenza di parametri cunnisciuti prima chì deve esse in qualchì modu riflessu in a cunfigurazione, chì limita un pocu a flessibilità di a suluzione è a pussibilità di cambiamenti dinamichi. A so volta, SD-WAN hè basatu annantu à u paradigma chì in u mumentu iniziale di cunnessione, u router "ùn sà nunda" di i so cuntrolli, ma sapi "chì pudete dumandà" - questu hè abbastanza micca solu per stabilisce automaticamente a cumunicazione cù i cuntrolli, ma ancu per furmà automaticamente una topologia di u pianu di dati cumplettamente cunnessu, chì pò esse cunfigurata / cambiata in modu flessibile cù e pulitiche.
  • In quantu à a gestione centralizata, l'automatizazione è u monitoraghju, SD-WAN hè previstu di superà e capacità di DMVPN / PfR, chì anu evolutu da e tecnulugii classiche è s'appoghjanu più forte nantu à a linea di cummanda CLI è l'usu di sistemi NMS basati in mudelli.
  • In SD-WAN, paragunatu à DMVPN, i bisogni di sicurità anu righjuntu un livellu qualitatiu diversu. I principii principali sò zero fiducia, scalabilità è autentificazione à dui fattori.

Queste simplici cunclusioni ponu dà l'impressione sbagliata chì a creazione di una reta basata nantu à DMVPN / PfR hà persu tutta a pertinenza oghje. Di sicuru, questu ùn hè micca cumplettamente veru. Per esempiu, in i casi induve a reta usa assai equipaghji obsoleti è ùn ci hè micca manera di rimpiazzà, DMVPN pò permette di cumminà i dispositi "vechi" è "novi" in una sola rete geo-distribuita cù assai di i vantaghji descritti. sopra.

Per d 'altra banda, deve esse ricurdatu chì tutti i router corporativi Cisco attuali basati nantu à IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) supportanu oghje ogni modu operativu - sia routing classicu sia DMVPN è SD-WAN - l'scelta hè determinata da i bisogni attuali è a cunniscenza chì in ogni mumentu, utilizendu u stessu equipamentu, pudete cumincià à avanzà versu tecnulugia più avanzata.

Source: www.habr.com

Add a comment