ProHoster > blog > Gweinyddiaeth > A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Ers mis Awst 2017, pan gaffaelodd Cisco Viptela, mae'r brif dechnoleg a gynigir ar gyfer trefnu rhwydweithiau menter dosbarthedig wedi dod yn Cisco SD-WAN. Dros y 3 blynedd diwethaf, mae technoleg SD-WAN wedi mynd trwy lawer o newidiadau, yn ansoddol ac yn feintiol. Felly, mae'r ymarferoldeb wedi ehangu'n sylweddol ac mae cefnogaeth wedi ymddangos ar lwybryddion clasurol y gyfres Cisco ISR 1000, ISR 4000, ASR 1000 a Virtual CSR 1000v. Ar yr un pryd, mae llawer o gwsmeriaid a phartneriaid Cisco yn parhau i feddwl tybed: beth yw'r gwahaniaethau rhwng Cisco SD-WAN a dulliau sydd eisoes yn gyfarwydd yn seiliedig ar dechnolegau megis Cisco DMVPN и Cisco Llwybro Perfformiad a pha mor bwysig yw'r gwahaniaethau hyn?

Yma dylem wneud amheuaeth ar unwaith, cyn dyfodiad SD-WAN ym mhortffolio Cisco, bod DMVPN ynghyd â PfR wedi ffurfio rhan allweddol yn y bensaernïaeth Cisco IWAN (WAN deallus), a oedd yn ei dro yn rhagflaenydd technoleg SD-WAN llawn. Er gwaethaf tebygrwydd cyffredinol y tasgau sy'n cael eu datrys a'r dulliau o'u datrys, ni chafodd IWAN erioed y lefel o awtomeiddio, hyblygrwydd a scalability sy'n angenrheidiol ar gyfer SD-WAN, a thros amser, mae datblygiad IWAN wedi gostwng yn sylweddol. Ar yr un pryd, nid yw'r technolegau sy'n ffurfio IWAN wedi diflannu, ac mae llawer o gwsmeriaid yn parhau i'w defnyddio'n llwyddiannus, gan gynnwys ar offer modern. O ganlyniad, mae sefyllfa ddiddorol wedi codi - mae'r un offer Cisco yn caniatáu ichi ddewis y dechnoleg WAN mwyaf addas (clasurol, DMVPN + PfR neu SD-WAN) yn unol â gofynion a disgwyliadau cwsmeriaid.

Nid yw'r erthygl yn bwriadu dadansoddi'n fanwl holl nodweddion technolegau Cisco SD-WAN a DMVPN (gyda neu heb Llwybro Perfformiad) - mae llawer iawn o ddogfennau a deunyddiau ar gael ar gyfer hyn. Y brif dasg yw ceisio gwerthuso'r gwahaniaethau allweddol rhwng y technolegau hyn. Ond cyn symud ymlaen i drafod y gwahaniaethau hyn, gadewch inni gofio'n fyr y technolegau eu hunain.

Beth yw Cisco DMVPN a pham mae ei angen?

Mae Cisco DMVPN yn datrys problem cysylltiad deinamig (= graddadwy) rhwydwaith cangen anghysbell â rhwydwaith swyddfa ganolog menter wrth ddefnyddio mathau mympwyol o sianeli cyfathrebu, gan gynnwys y Rhyngrwyd (= gydag amgryptio'r sianel gyfathrebu). Yn dechnegol, gwireddir hyn trwy greu rhwydwaith troshaen rhithwir o ddosbarth L3 VPN yn y modd pwynt-i-aml-bwynt gyda thopoleg resymegol o'r math “Seren” (Hub-n-Spoke). I gyflawni hyn, mae DMVPN yn defnyddio cyfuniad o'r technolegau canlynol:

  • Llwybro IP
  • Twneli GRE aml-bwynt (mGRE)
  • Protocol Datrys Hop Nesaf (NHRP)
  • Proffiliau IPSec Crypto

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Beth yw prif fanteision Cisco DMVPN o'i gymharu â llwybro clasurol gan ddefnyddio sianeli MPLS VPN?

  • Er mwyn creu rhwydwaith rhwng canghennau, mae'n bosibl defnyddio unrhyw sianeli cyfathrebu - mae unrhyw beth a all ddarparu cysylltedd IP rhwng canghennau yn addas, tra bydd y traffig yn cael ei amgryptio (lle bo angen) a'i gydbwyso (lle bo'n bosibl)
  • Mae topoleg gwbl gysylltiedig rhwng canghennau yn cael ei ffurfio'n awtomatig. Ar yr un pryd, mae twneli sefydlog rhwng y canghennau canolog ac anghysbell, a thwneli deinamig ar alw rhwng y canghennau anghysbell (os oes traffig)
  • Mae gan lwybryddion y gangen ganolog ac anghysbell yr un ffurfweddiad hyd at gyfeiriadau IP y rhyngwynebau. Trwy ddefnyddio mGRE, nid oes angen ffurfweddu degau, cannoedd, neu hyd yn oed filoedd o dwneli yn unigol. O ganlyniad, scalability gweddus gyda'r dyluniad cywir.

Beth yw Llwybro Perfformiad Cisco a pham mae ei angen?

Wrth ddefnyddio DMVPN ar rwydwaith rhyng-gangen, mae un cwestiwn hynod bwysig yn parhau i fod heb ei ddatrys - sut i asesu cyflwr pob un o'r twneli DMVPN yn ddeinamig ar gyfer cydymffurfio â gofynion traffig sy'n hanfodol i'n sefydliad ac, unwaith eto, yn seiliedig ar asesiad o'r fath, gwneud yn ddeinamig. penderfyniad ar ailgyfeirio? Y ffaith yw nad yw DMVPN yn y rhan hon yn wahanol iawn i lwybro clasurol - y gorau y gellir ei wneud yw ffurfweddu mecanweithiau QoS a fydd yn caniatáu ichi flaenoriaethu traffig i'r cyfeiriad sy'n mynd allan, ond nad ydynt mewn unrhyw ffordd yn gallu ystyried cyflwr y traffig. y llwybr cyfan rywbryd neu'i gilydd.

A beth i'w wneud os bydd y sianel yn diraddio'n rhannol ac nid yn gyfan gwbl - sut i ganfod a gwerthuso hyn? Ni all DMVPN ei hun wneud hyn. O ystyried y gall y sianeli sy'n cysylltu canghennau fynd trwy weithredwyr telathrebu cwbl wahanol, gan ddefnyddio technolegau hollol wahanol, mae'r dasg hon yn dod yn hynod o ddibwys. A dyma lle mae technoleg Llwybro Perfformiad Cisco yn dod i'r adwy, a oedd erbyn hynny eisoes wedi mynd trwy sawl cam datblygu.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Mae tasg Llwybro Perfformiad Cisco (PfR o hyn ymlaen) yn ymwneud â mesur cyflwr llwybrau (twneli) traffig yn seiliedig ar fetrigau allweddol sy'n bwysig ar gyfer cymwysiadau rhwydwaith - hwyrni, amrywiad hwyrni (jitter) a cholli pecynnau (canran). Yn ogystal, gellir mesur y lled band a ddefnyddir. Mae'r mesuriadau hyn yn digwydd mor agos at amser real â phosibl ac y gellir eu cyfiawnhau, ac mae canlyniad y mesuriadau hyn yn caniatáu i'r llwybrydd sy'n defnyddio PfR wneud penderfyniadau deinamig am yr angen i newid llwybr y traffig hwn neu'r math hwnnw o draffig.

Felly, gellir disgrifio tasg y cyfuniad DMVPN/PfR yn fyr fel a ganlyn:

  • Caniatáu i'r cwsmer ddefnyddio unrhyw sianeli cyfathrebu ar y rhwydwaith WAN
  • Sicrhau'r ansawdd uchaf posibl o gymwysiadau hanfodol ar y sianeli hyn

Beth yw Cisco SD-WAN?

Mae Cisco SD-WAN yn dechnoleg sy'n defnyddio'r dull SDN i greu a gweithredu rhwydwaith WAN sefydliad. Mae hyn yn arbennig yn golygu defnyddio rheolwyr fel y'u gelwir (elfennau meddalwedd), sy'n darparu offeryniaeth ganolog a chyfluniad awtomataidd o'r holl gydrannau datrysiad. Yn wahanol i'r SDN canonaidd (arddull Llechi Glân), mae Cisco SD-WAN yn defnyddio sawl math o reolwyr, pob un ohonynt yn cyflawni ei rôl ei hun - gwnaed hyn yn fwriadol i ddarparu gwell scalability a geo-diswyddo.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Yn achos SD-WAN, mae'r dasg o ddefnyddio unrhyw fath o sianeli a sicrhau gweithrediad cymwysiadau busnes yn aros yr un fath, ond ar yr un pryd, mae'r gofynion ar gyfer awtomeiddio, scalability, diogelwch a hyblygrwydd rhwydwaith o'r fath yn ehangu.

Trafod gwahaniaethau

Os byddwn nawr yn dechrau dadansoddi'r gwahaniaethau rhwng y technolegau hyn, byddant yn perthyn i un o'r categorïau canlynol:

  • Gwahaniaethau pensaernïol - sut mae swyddogaethau'n cael eu dosbarthu ar draws gwahanol gydrannau'r datrysiad, sut mae rhyngweithio cydrannau o'r fath wedi'i drefnu, a sut mae hyn yn effeithio ar alluoedd a hyblygrwydd y dechnoleg?
  • Ymarferoldeb – beth all un dechnoleg ei wneud na all un arall ei wneud? Ac a yw mor bwysig â hynny mewn gwirionedd?

Beth yw'r gwahaniaethau pensaernïol ac a ydynt yn bwysig?

Mae gan bob un o'r technolegau hyn lawer o "rhannau symudol" sy'n wahanol nid yn unig yn eu rolau, ond hefyd yn y modd y maent yn rhyngweithio â'i gilydd. Pa mor dda y meddylir am yr egwyddorion hyn ac mae mecaneg gyffredinol yr ateb yn pennu'n uniongyrchol ei scalability, goddefgarwch namau ac effeithlonrwydd cyffredinol.

Edrychwn ar wahanol agweddau'r bensaernïaeth yn fwy manwl:

Data-awyren - rhan o'r datrysiad sy'n gyfrifol am drosglwyddo traffig defnyddwyr rhwng y ffynhonnell a'r derbynnydd. Mae DMVPN a SD-WAN yn cael eu gweithredu'n union yr un fath yn gyffredinol ar y llwybryddion eu hunain yn seiliedig ar dwneli Multipoint GRE. Y gwahaniaeth yw sut mae'r set angenrheidiol o baramedrau ar gyfer y twneli hyn yn cael ei ffurfio:

  • в DMVPN/PfR yn hierarchaeth nodau dwy lefel yn unig gyda thopoleg Seren neu Hub-n-Spoke. Mae angen cyfluniad statig yr Hyb a rhwymiad statig Siarad â’r Hyb, yn ogystal â rhyngweithio trwy brotocol NHRP i ffurfio cysylltedd awyren data. O ganlyniad, gwneud newidiadau i’r Hyb yn llawer anoddachyn ymwneud, er enghraifft, â newid/cysylltu sianeli WAN newydd neu newid paramedrau'r rhai presennol.
  • в SD WAN yn fodel cwbl ddeinamig ar gyfer canfod paramedrau twneli wedi'u gosod yn seiliedig ar awyren reoli (protocol OMP) ac awyren offeryniaeth (rhyngweithio â'r rheolydd vBond ar gyfer canfod rheolydd a thasgau croesi NAT). Yn yr achos hwn, gellir defnyddio unrhyw dopolegau arosodedig, gan gynnwys rhai hierarchaidd. O fewn topoleg y twnnel troshaenu sefydledig, mae cyfluniad hyblyg o'r topoleg resymegol ym mhob VPN(VRF) unigol yn bosibl.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Rheoli-awyren - swyddogaethau cyfnewid, hidlo ac addasu llwybro a gwybodaeth arall rhwng cydrannau datrysiad.

  • в DMVPN/PfR – yn cael ei wneud rhwng llwybryddion Hub a Spoke yn unig. Nid yw'n bosibl cyfnewid gwybodaeth llwybro'n uniongyrchol rhwng Spokes. O ganlyniad, Heb Hyb gweithredol, ni all yr awyren reoli a'r awyren ddata weithredu, sy’n gosod gofynion argaeledd uchel ychwanegol ar yr Hyb na ellir eu bodloni bob amser.
  • в SD WAN - nid yw awyren reoli byth yn cael ei chynnal yn uniongyrchol rhwng llwybryddion - mae rhyngweithio'n digwydd ar sail y protocol OMP ac yn cael ei gyflawni o reidrwydd trwy fath arbenigol ar wahân o reolwr vSmart, sy'n darparu'r posibilrwydd o gydbwyso, geo-archebu a rheolaeth ganolog ar y llwyth signal. Nodwedd arall o'r protocol OMP yw ei wrthwynebiad sylweddol i golledion ac annibyniaeth o gyflymder y sianel gyfathrebu â rheolwyr (o fewn terfynau rhesymol, wrth gwrs). Sydd yr un mor llwyddiannus yn caniatáu ichi osod rheolwyr SD-WAN mewn cymylau cyhoeddus neu breifat gyda mynediad trwy'r Rhyngrwyd.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Polisi-awyren - rhan o'r datrysiad sy'n gyfrifol am ddiffinio, dosbarthu a chymhwyso polisïau rheoli traffig ar rwydwaith gwasgaredig.

  • DMVPN – wedi'i gyfyngu i bob pwrpas gan bolisïau ansawdd gwasanaeth (QoS) sydd wedi'u ffurfweddu'n unigol ar bob llwybrydd trwy'r templedi CLI neu Prime Infrastructure.
  • DMVPN/PfR - Mae polisïau PfR yn cael eu ffurfio ar lwybrydd y Prif Reolydd (MC) canolog trwy'r CLI ac yna'n cael eu dosbarthu'n awtomatig i MCs cangen. Yn yr achos hwn, defnyddir yr un llwybrau trosglwyddo polisi ag ar gyfer yr awyren ddata. Nid oes unrhyw bosibilrwydd i wahanu'r broses o gyfnewid polisïau, gwybodaeth llwybro a data defnyddwyr. Er mwyn lledaenu polisi, mae angen presenoldeb cysylltedd IP rhwng yr Hyb a'r Llefarydd. Yn yr achos hwn, gellir cyfuno'r swyddogaeth MC, os oes angen, â llwybrydd DMVPN. Mae'n bosibl (ond nid yw'n ofynnol) defnyddio templedi Seilwaith Sylfaenol ar gyfer cynhyrchu polisi canolog. Nodwedd bwysig yw bod y polisi yn cael ei ffurfio yn fyd-eang ar draws y rhwydwaith yn yr un modd - Ni chefnogir polisïau unigol ar gyfer segmentau unigol.
  • SD WAN – mae polisïau rheoli traffig ac ansawdd gwasanaeth yn cael eu pennu’n ganolog drwy ryngwyneb graffigol Cisco vManage, sydd hefyd ar gael drwy’r Rhyngrwyd (os oes angen). Cânt eu dosbarthu trwy sianeli signalau yn uniongyrchol neu'n anuniongyrchol trwy reolwyr vSmart (yn dibynnu ar y math o bolisi). Nid ydynt yn dibynnu ar gysylltedd data-awyren rhwng llwybryddion, oherwydd defnyddio'r holl lwybrau traffig sydd ar gael rhwng y rheolydd a'r llwybrydd.

    Ar gyfer gwahanol segmentau rhwydwaith, mae'n bosibl llunio gwahanol bolisïau'n hyblyg - mae cwmpas y polisi yn cael ei bennu gan lawer o ddynodwyr unigryw a ddarperir yn yr ateb - rhif cangen, math o gais, cyfeiriad traffig, ac ati.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Cerddorfa-awyren - mecanweithiau sy'n caniatáu i gydrannau ganfod ei gilydd yn ddeinamig, ffurfweddu a chydlynu rhyngweithiadau dilynol.

  • в DMVPN/PfR Mae cyd-ddarganfod rhwng llwybryddion yn seiliedig ar gyfluniad statig dyfeisiau Hub a chyfluniad cyfatebol dyfeisiau Spoke. Mae darganfyddiad deinamig yn digwydd ar gyfer Spoke yn unig, sy'n adrodd am ei baramedrau cysylltiad Hub i'r ddyfais, sydd yn ei dro wedi'i ffurfweddu ymlaen llaw gyda Spoke. Heb gysylltedd IP rhwng Spoke ac o leiaf un Hyb, mae'n amhosibl ffurfio naill ai awyren ddata neu awyren reoli.
  • в SD WAN mae offeryniaeth cydrannau datrysiad yn digwydd gan ddefnyddio rheolydd vBond, y mae'n rhaid i bob cydran (llwybryddion a rheolwyr vManage/vSmart) sefydlu cysylltedd IP ag ef yn gyntaf.

    I ddechrau, nid yw'r cydrannau'n gwybod am baramedrau cysylltiad ei gilydd - ar gyfer hyn mae angen cerddorfa cyfryngol vBond arnynt. Mae'r egwyddor gyffredinol fel a ganlyn - mae pob cydran yn y cyfnod cychwynnol yn dysgu (yn awtomatig neu'n statig) am y paramedrau cysylltiad â vBond yn unig, yna mae vBond yn hysbysu'r llwybrydd am y rheolwyr vManage a vSmart (a ddarganfuwyd yn gynharach), sy'n ei gwneud hi'n bosibl sefydlu'n awtomatig yr holl gysylltiadau signalau angenrheidiol.

    Y cam nesaf yw i'r llwybrydd newydd ddysgu am y llwybryddion eraill ar y rhwydwaith trwy gyfathrebu OMP â'r rheolydd vSmart. Felly, mae'r llwybrydd, heb wybod dim byd o gwbl i ddechrau am baramedrau'r rhwydwaith, yn gallu canfod a chysylltu'n llawn yn awtomatig â rheolwyr ac yna hefyd ganfod a ffurfio cysylltedd â llwybryddion eraill yn awtomatig. Yn yr achos hwn, nid yw paramedrau cysylltiad yr holl gydrannau yn hysbys i ddechrau a gallant newid yn ystod y llawdriniaeth.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Rheoli-awyren – rhan o'r datrysiad sy'n darparu rheolaeth a monitro canolog.

  • DMVPN/PfR – ni ddarperir ateb awyren reoli arbenigol. Ar gyfer awtomeiddio a monitro sylfaenol, gellir defnyddio cynhyrchion fel Cisco Prime Infrastructure. Mae gan bob llwybrydd y gallu i gael ei reoli trwy'r llinell orchymyn CLI. Ni ddarperir integreiddiad â systemau allanol trwy API.
  • SD WAN - mae'r holl ryngweithio a monitro rheolaidd yn cael ei wneud yn ganolog trwy ryngwyneb graffigol y rheolydd vManage. Mae holl nodweddion yr ateb, yn ddieithriad, ar gael i'w ffurfweddu trwy vManage, yn ogystal â thrwy lyfrgell REST API wedi'i dogfennu'n llawn.

    Mae pob gosodiad rhwydwaith SD-WAN yn vManage yn dod i lawr i ddau brif luniad - ffurfio templedi dyfais (Templed Dyfais) a ffurfio polisi sy'n pennu rhesymeg gweithrediad rhwydwaith a phrosesu traffig. Ar yr un pryd, mae vManage, sy'n darlledu'r polisi a gynhyrchir gan y gweinyddwr, yn dewis yn awtomatig pa newidiadau ac ar ba ddyfeisiau / rheolyddion unigol y mae angen eu gwneud, sy'n cynyddu effeithlonrwydd a graddadwyedd y datrysiad yn sylweddol.

    Trwy'r rhyngwyneb vManage, nid yn unig mae cyfluniad datrysiad Cisco SD-WAN ar gael, ond mae hefyd yn monitro statws holl gydrannau'r datrysiad yn llawn, hyd at gyflwr presennol metrigau ar gyfer twneli unigol ac ystadegau ar y defnydd o wahanol gymwysiadau. yn seiliedig ar ddadansoddiad DPI.

    Er gwaethaf canoli rhyngweithio, mae gan yr holl gydrannau (rheolwyr a llwybryddion) linell orchymyn CLI cwbl weithredol hefyd, sy'n angenrheidiol ar y cam gweithredu neu rhag ofn y bydd argyfwng ar gyfer diagnosteg leol. Yn y modd arferol (os oes sianel signalau rhwng cydrannau) ar lwybryddion, dim ond ar gyfer diagnosteg y mae'r llinell orchymyn ar gael ac nid yw ar gael ar gyfer gwneud newidiadau lleol, sy'n gwarantu diogelwch lleol a'r unig ffynhonnell o newidiadau mewn rhwydwaith o'r fath yw vManage.

Diogelwch Integredig – yma rydym yn siarad nid yn unig am amddiffyn data defnyddwyr wrth ei drosglwyddo dros sianeli agored, ond hefyd am ddiogelwch cyffredinol y rhwydwaith WAN yn seiliedig ar y dechnoleg a ddewiswyd.

  • в DMVPN/PfR Mae'n bosibl amgryptio data defnyddwyr a phrotocolau signalau. Wrth ddefnyddio rhai modelau llwybrydd, mae swyddogaethau wal dân gydag archwilio traffig, IPS / IDS ar gael hefyd. Mae'n bosibl segmentu rhwydweithiau cangen gan ddefnyddio VRF. Mae'n bosibl dilysu protocolau rheoli (un ffactor).

    Yn yr achos hwn, mae'r llwybrydd o bell yn cael ei ystyried yn elfen ddibynadwy o'r rhwydwaith yn ddiofyn - h.y. nid yw achosion o gyfaddawdu dyfeisiau unigol yn gorfforol a’r posibilrwydd o gael mynediad anawdurdodedig iddynt yn cael eu rhagdybio na’u hystyried; nid oes unrhyw ddilysiad dau ffactor o gydrannau datrysiad, sydd yn achos rhwydwaith wedi’i ddosbarthu’n ddaearyddol gall fod risgiau ychwanegol sylweddol.

  • в SD WAN trwy gyfatebiaeth â DMVPN, darperir y gallu i amgryptio data defnyddwyr, ond gyda diogelwch rhwydwaith sydd wedi'i ehangu'n sylweddol a swyddogaethau segmentu L3 / VRF (wal dân, IPS / IDS, hidlo URL, hidlo DNS, AMP / TG, SASE, dirprwy TLS / SSL, etc.) d.). Ar yr un pryd, mae cyfnewid allweddi amgryptio yn cael ei wneud yn fwy effeithlon trwy reolwyr vSmart (yn hytrach nag yn uniongyrchol), trwy sianeli signalau a sefydlwyd ymlaen llaw a ddiogelir gan amgryptio DTLS / TLS yn seiliedig ar dystysgrifau diogelwch. Sydd yn ei dro yn gwarantu diogelwch cyfnewidfeydd o'r fath ac yn sicrhau gwell scalability yr ateb hyd at ddegau o filoedd o ddyfeisiau ar yr un rhwydwaith.

    Mae'r holl gysylltiadau signalau (rheolwr-i-reolwr, rheolydd-llwybrydd) hefyd yn cael eu hamddiffyn yn seiliedig ar DTLS/TLS. Mae gan lwybryddion dystysgrifau diogelwch yn ystod y cynhyrchiad gyda'r posibilrwydd o newid / ymestyn. Cyflawnir dilysu dau ffactor trwy gyflawni dau amod yn orfodol ac ar yr un pryd i'r llwybrydd / rheolydd weithredu mewn rhwydwaith SD-WAN:

    • Tystysgrif diogelwch dilys
    • Cynhwysiad clir ac ymwybodol gan weinyddwr pob cydran yn y rhestr “gwyn” o ddyfeisiau a ganiateir.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Gwahaniaethau swyddogaethol rhwng SD-WAN a DMVPN/PfR

Gan symud ymlaen i drafod gwahaniaethau swyddogaethol, dylid nodi bod llawer ohonynt yn barhad o rai pensaernïol - nid yw'n gyfrinach, wrth ffurfio pensaernïaeth datrysiad, bod datblygwyr yn dechrau o'r galluoedd y maent am eu cael yn y diwedd. Edrychwn ar y gwahaniaethau mwyaf arwyddocaol rhwng y ddwy dechnoleg.

AppQ (Ansawdd y Cais) - swyddogaethau i sicrhau ansawdd trosglwyddo traffig cymwysiadau busnes

Mae swyddogaethau allweddol y technolegau dan sylw wedi'u hanelu at wella profiad y defnyddiwr cymaint â phosibl wrth ddefnyddio cymwysiadau sy'n hanfodol i fusnes mewn rhwydwaith gwasgaredig. Mae hyn yn arbennig o bwysig mewn amodau lle nad yw rhan o'r seilwaith yn cael ei reoli gan TG neu nad yw hyd yn oed yn gwarantu trosglwyddiad data llwyddiannus.

Nid yw DMVPN ei hun yn darparu mecanweithiau o'r fath. Y gorau y gellir ei wneud mewn rhwydwaith DMVPN clasurol yw dosbarthu traffig sy'n mynd allan yn ôl cais a'i flaenoriaethu wrth ei drosglwyddo i'r sianel WAN. Penderfynir ar y dewis o dwnnel DMVPN yn yr achos hwn yn unig gan ei argaeledd a chanlyniad gweithrediad protocolau llwybro. Ar yr un pryd, nid yw cyflwr y llwybr/twnnel o un pen i'r llall a'i ddiraddiad rhannol posibl yn cael eu hystyried yn nhermau metrigau allweddol sy'n arwyddocaol ar gyfer cymwysiadau rhwydwaith - oedi, amrywiad oedi (jitter) a cholledion (% ). Yn hyn o beth, mae cymharu DMVPN clasurol yn uniongyrchol â SD-WAN o ran datrys problemau AppQ yn colli pob ystyr - ni all DMVPN ddatrys y broblem hon. Pan fyddwch chi'n ychwanegu technoleg Llwybro Perfformiad Cisco (PfR) i'r cyd-destun hwn, mae'r sefyllfa'n newid ac mae'r gymhariaeth â Cisco SD-WAN yn dod yn fwy ystyrlon.

Cyn i ni drafod y gwahaniaethau, dyma olwg gyflym ar sut mae'r technolegau yn debyg. Felly, y ddwy dechnoleg:

  • meddu ar fecanwaith sy'n eich galluogi i asesu cyflwr pob twnnel sefydledig yn ddeinamig o ran rhai metrigau - o leiaf oedi, amrywiad oedi a cholli pecynnau (%)
  • defnyddio set benodol o offer i ffurfio, dosbarthu a chymhwyso rheolau rheoli traffig (polisïau), gan ystyried canlyniadau mesur cyflwr metrigau twnnel allweddol.
  • dosbarthu traffig cymhwysiad ar lefelau L3-L4 (DSCP) o'r model OSI neu drwy lofnodion cais L7 yn seiliedig ar fecanweithiau DPI sydd wedi'u cynnwys yn y llwybrydd
  • Ar gyfer ceisiadau sylweddol, maent yn caniatáu ichi bennu gwerthoedd trothwy derbyniol metrigau, rheolau ar gyfer trosglwyddo traffig yn ddiofyn, a rheolau ar gyfer ailgyfeirio traffig pan eir y tu hwnt i'r gwerthoedd trothwy.
  • Wrth amgáu traffig yn GRE / IPSec, maent yn defnyddio mecanwaith y diwydiant sydd eisoes wedi'i sefydlu ar gyfer trosglwyddo marciau DSCP mewnol i bennawd pecyn allanol GRE / IPSEC, sy'n caniatáu cydamseru polisïau QoS y sefydliad a'r gweithredwr telathrebu (os oes CLG priodol) .

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Sut mae metrigau pen-i-ben SD-WAN a DMVPN/PfR yn wahanol?

DMVPN/PfR

  • Defnyddir synwyryddion meddalwedd gweithredol a goddefol (Probes) i werthuso metrigau iechyd twnnel safonol. Mae rhai gweithredol yn seiliedig ar draffig defnyddwyr, mae rhai goddefol yn efelychu traffig o'r fath (yn ei absenoldeb).
  • Nid oes unrhyw fireinio amseryddion ac amodau canfod diraddiad - mae'r algorithm yn sefydlog.
  • Yn ogystal, mae mesur lled band a ddefnyddir i'r cyfeiriad allan ar gael. Sy'n ychwanegu hyblygrwydd rheoli traffig ychwanegol at DMVPN/PfR.
  • Ar yr un pryd, mae rhai mecanweithiau PfR, pan eir y tu hwnt i fetrigau, yn dibynnu ar signalau adborth ar ffurf negeseuon arbennig TCA (Rhybudd Croesi Trothwy) y mae'n rhaid iddynt ddod o'r derbynnydd traffig tuag at y ffynhonnell, sydd yn ei dro yn tybio bod cyflwr y dylai sianeli mesuredig fod o leiaf yn ddigonol ar gyfer trosglwyddo negeseuon TCA o'r fath. Sydd yn y rhan fwyaf o achosion nad yw'n broblem, ond yn amlwg ni ellir ei warantu.

SD WAN

  • Ar gyfer gwerthusiad pen-i-ben o fetrigau cyflwr twnnel safonol, defnyddir y protocol BFD yn y modd adlais. Yn yr achos hwn, nid oes angen adborth arbennig ar ffurf TCA neu negeseuon tebyg - cedwir ynysu parthau methiant. Nid yw ychwaith yn gofyn am bresenoldeb traffig defnyddwyr i werthuso cyflwr y twnnel.
  • Mae'n bosibl mireinio amseryddion BFD i reoleiddio cyflymder ymateb a sensitifrwydd yr algorithm i ddiraddio'r sianel gyfathrebu o sawl eiliad i funud.

    A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

  • Ar adeg ysgrifennu, dim ond un sesiwn BFD sydd ym mhob twnnel. Mae hyn o bosibl yn creu llai o ronynnedd mewn dadansoddiad cyflwr twnnel. Mewn gwirionedd, dim ond os ydych chi'n defnyddio cysylltiad WAN yn seiliedig ar MPLS L2/L3 VPN gyda CLG QoS cytûn y gall hyn ddod yn gyfyngiad - os yw marc DSCP traffig BFD (ar ôl amgáu yn IPSec/GRE) yn cyfateb i'r ciw blaenoriaeth uchel yn rhwydwaith y gweithredwr telathrebu, yna gall hyn effeithio ar gywirdeb a chyflymder canfod diraddio ar gyfer traffig â blaenoriaeth isel. Ar yr un pryd, mae'n bosibl newid y labelu BFD rhagosodedig i leihau'r risg o sefyllfaoedd o'r fath. Mewn fersiynau yn y dyfodol o feddalwedd Cisco SD-WAN, disgwylir gosodiadau BFD mwy manwl, yn ogystal â'r gallu i lansio sesiynau BFD lluosog o fewn yr un twnnel gyda gwerthoedd DSCP unigol (ar gyfer gwahanol gymwysiadau).
  • Mae BFD hefyd yn caniatáu ichi amcangyfrif maint y pecyn mwyaf y gellir ei drosglwyddo trwy dwnnel penodol heb ddarnio. Mae hyn yn caniatáu i SD-WAN addasu paramedrau fel MTU a TCP MSS Adjust yn ddeinamig i wneud y gorau o'r lled band sydd ar gael ar bob dolen.
  • Yn SD-WAN, mae'r opsiwn o gydamseru QoS gan weithredwyr telathrebu hefyd ar gael, nid yn unig yn seiliedig ar feysydd L3 DSCP, ond hefyd yn seiliedig ar werthoedd L2 CoS, y gellir eu cynhyrchu'n awtomatig yn y rhwydwaith cangen gan ddyfeisiau arbenigol - er enghraifft, IP ffonau

Sut mae galluoedd, dulliau diffinio a chymhwyso polisïau AppQ yn wahanol?

Polisïau DMVPN/PfR:

  • Wedi'i ddiffinio ar lwybrydd(au) y gangen ganolog trwy'r llinell orchymyn CLI neu dempledi cyfluniad CLI. Mae cynhyrchu templedi CLI yn gofyn am baratoi a gwybodaeth am gystrawen polisi.

    A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

  • Wedi'i ddiffinio'n fyd-eang heb y posibilrwydd o gyfluniad unigol/newid i ofynion segmentau rhwydwaith unigol.
  • Ni ddarperir cynhyrchu polisi rhyngweithiol yn y rhyngwyneb graffigol.
  • Ni ddarperir olrhain newidiadau, etifeddiaeth, a chreu fersiynau lluosog o bolisïau ar gyfer newid cyflym.
  • Wedi'i ddosbarthu'n awtomatig i lwybryddion canghennau anghysbell. Yn yr achos hwn, defnyddir yr un sianeli cyfathrebu ag ar gyfer trosglwyddo data defnyddwyr. Os nad oes sianel gyfathrebu rhwng y gangen ganolog ac anghysbell, mae dosbarthu/newid polisïau yn amhosibl.
  • Fe'u defnyddir ar bob llwybrydd ac, os oes angen, maent yn addasu canlyniad protocolau llwybro safonol, gan gael blaenoriaeth uwch.
  • Ar gyfer achosion lle mae holl gysylltiadau WAN cangen yn profi colled traffig sylweddol, ni ddarparwyd unrhyw fecanweithiau iawndal.

Polisïau SD-WAN:

  • Wedi'i ddiffinio yn y GUI vManage trwy'r dewin templed rhyngweithiol.
  • Yn cefnogi creu polisïau lluosog, copïo, etifeddu, newid rhwng polisïau mewn amser real.
  • Yn cefnogi gosodiadau polisi unigol ar gyfer gwahanol segmentau rhwydwaith (canghennau)
  • Fe'u dosberthir gan ddefnyddio unrhyw sianel signal sydd ar gael rhwng y rheolydd a'r llwybrydd a / neu vSmart - nid ydynt yn dibynnu'n uniongyrchol ar y cysylltedd awyren data rhwng y llwybryddion. Mae hyn, wrth gwrs, yn gofyn am gysylltedd IP rhwng y llwybrydd ei hun a'r rheolwyr.

    A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

  • Mewn achosion pan fo holl ganghennau cangen sydd ar gael yn profi colledion data sylweddol sy'n fwy na'r trothwyon derbyniol ar gyfer cymwysiadau critigol, mae'n bosibl defnyddio mecanweithiau ychwanegol sy'n cynyddu dibynadwyedd trosglwyddo:
    • FEC (Cywiro Gwall Ymlaen) – yn defnyddio algorithm codio diangen arbennig. Wrth drosglwyddo traffig critigol dros sianeli gyda chanran sylweddol o golledion, gellir actifadu FEC yn awtomatig ac yn caniatáu, os oes angen, i adfer y rhan o'r data a gollwyd. Mae hyn yn cynyddu'r lled band trawsyrru a ddefnyddir ychydig, ond yn gwella dibynadwyedd yn sylweddol.

      A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

    • Dyblygu ffrydiau data – Yn ogystal â FEC, gall y polisi ddarparu ar gyfer dyblygu traffig ceisiadau dethol yn awtomatig os bydd lefel hyd yn oed yn fwy difrifol o golledion na ellir eu digolledu gan FEC. Yn yr achos hwn, bydd y data a ddewiswyd yn cael ei drosglwyddo trwy bob twnnel tuag at y gangen sy'n derbyn gyda dad-ddyblygu dilynol (gan ollwng copïau ychwanegol o becynnau). Mae'r mecanwaith yn cynyddu'r defnydd o sianel yn sylweddol, ond hefyd yn cynyddu dibynadwyedd trosglwyddo yn sylweddol.

Galluoedd Cisco SD-WAN, heb analogau uniongyrchol yn DMVPN/PfR

Mae pensaernïaeth datrysiad Cisco SD-WAN mewn rhai achosion yn caniatáu ichi gael galluoedd sydd naill ai'n anodd iawn eu gweithredu o fewn DMVPN / PfR, neu sy'n anymarferol oherwydd y costau llafur gofynnol, neu sy'n gwbl amhosibl. Edrychwn ar y mwyaf diddorol ohonynt:

Peirianneg Traffig (TE)

Mae TE yn cynnwys mecanweithiau sy'n caniatáu i draffig gangen oddi ar y llwybr safonol a ffurfiwyd gan brotocolau llwybro. Defnyddir TE yn aml i sicrhau bod gwasanaethau rhwydwaith ar gael yn uchel, trwy’r gallu i drosglwyddo traffig critigol yn gyflym a/neu’n rhagweithiol i lwybr trawsyrru amgen (di-gyswllt), er mwyn sicrhau gwell ansawdd gwasanaeth neu adferiad cyflymdra pe bai methiant. ar y prif lwybr.

Yr anhawster wrth weithredu TE yw'r angen i gyfrifo a chadw (gwirio) llwybr arall ymlaen llaw. Mewn rhwydweithiau MPLS o weithredwyr telathrebu, mae'r broblem hon yn cael ei datrys gan ddefnyddio technolegau megis MPLS Traffic-Engineering gydag estyniadau i brotocolau IGP a phrotocol RSVP. Hefyd yn ddiweddar, mae technoleg Llwybro Segment, sydd wedi'i optimeiddio'n fwy ar gyfer cyfluniad ac offeryniaeth ganolog, wedi dod yn fwyfwy poblogaidd. Mewn rhwydweithiau WAN clasurol, nid yw'r technolegau hyn fel arfer yn cael eu cynrychioli neu'n cael eu lleihau i'r defnydd o fecanweithiau hop-wrth-hop fel Llwybro ar Sail Polisi (PBR), sy'n gallu canghennu traffig, ond yn gweithredu hyn ar bob llwybrydd ar wahân - heb gymryd ystyried cyflwr cyffredinol y rhwydwaith neu ganlyniad PBR yn y camau blaenorol neu ddilynol. Mae canlyniad defnyddio'r opsiynau TE hyn yn siomedig - mae MPLS TE, oherwydd cymhlethdod y ffurfweddiad a'r gweithrediad, yn cael ei ddefnyddio, fel rheol, dim ond yn y rhan fwyaf hanfodol o'r rhwydwaith (craidd), a defnyddir PBR ar lwybryddion unigol heb y gallu i greu polisi PBR unedig ar gyfer y rhwydwaith cyfan. Yn amlwg, mae hyn hefyd yn berthnasol i rwydweithiau sy'n seiliedig ar DMVPN.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Mae SD-WAN yn hyn o beth yn cynnig datrysiad llawer mwy cain sydd nid yn unig yn hawdd ei ffurfweddu, ond hefyd yn graddio'n llawer gwell. Mae hyn o ganlyniad i'r saernïaeth awyren reoli ac awyren bolisi a ddefnyddiwyd. Mae gweithredu awyren bolisi yn SD-WAN yn caniatáu ichi ddiffinio polisi TE yn ganolog - pa draffig sydd o ddiddordeb? ar gyfer pa VPNs? Trwy ba nodau/twneli y mae'n angenrheidiol neu, i'r gwrthwyneb, wedi'i wahardd i ffurfio llwybr amgen? Yn ei dro, mae canoli rheolaeth awyren reoli yn seiliedig ar reolwyr vSmart yn caniatáu ichi addasu canlyniadau llwybro heb droi at osodiadau dyfeisiau unigol - mae llwybryddion eisoes yn gweld canlyniad y rhesymeg a gynhyrchwyd yn y rhyngwyneb vManage yn unig ac a drosglwyddwyd i'w ddefnyddio i vSmart.

Cadwyni gwasanaeth

Mae ffurfio cadwyni gwasanaeth yn dasg hyd yn oed yn fwy llafurddwys mewn llwybro clasurol na'r mecanwaith Traffig-Peirianneg a ddisgrifiwyd eisoes. Yn wir, yn yr achos hwn, mae angen nid yn unig creu llwybr arbennig ar gyfer cymhwysiad rhwydwaith penodol, ond hefyd sicrhau'r gallu i dynnu traffig o'r rhwydwaith ar rai nodau (neu bob un) o'r rhwydwaith SD-WAN i'w prosesu gan cais neu wasanaeth arbennig (Firewall, Cydbwyso, Caching, Traffig Archwilio, ac ati). Ar yr un pryd, mae angen gallu rheoli cyflwr y gwasanaethau allanol hyn er mwyn atal sefyllfaoedd du-hole, ac mae angen mecanweithiau hefyd sy'n caniatáu i wasanaethau allanol o'r un math gael eu gosod mewn gwahanol geo-leoliadau. gyda gallu'r rhwydwaith i ddewis yn awtomatig y nod gwasanaeth mwyaf optimaidd ar gyfer prosesu traffig cangen benodol . Yn achos Cisco SD-WAN, mae hyn yn eithaf hawdd i'w gyflawni trwy greu polisi canolog priodol sy'n “gludo” pob agwedd ar y gadwyn gwasanaeth targed yn un cyfanwaith ac yn newid rhesymeg yr awyren ddata a'r awyren reoli yn awtomatig yn unig lle a phan fo angen.

A fydd Cisco SD-WAN yn torri'r gangen y mae DMVPN yn eistedd arni?

Efallai mai'r gallu i greu prosesu traffig geo-ddosbarthedig o fathau dethol o gymwysiadau mewn dilyniant penodol ar offer arbenigol (ond heb fod yn gysylltiedig â'r rhwydwaith SD-WAN ei hun) yw'r arddangosiad mwyaf clir o fanteision Cisco SD-WAN dros y clasurol technolegau a hyd yn oed rhai atebion SD amgen -WAN gan weithgynhyrchwyr eraill.

Y canlyniad?

Yn amlwg, mae DMVPN (gyda neu heb Llwybro Perfformiad) a Cisco SD-WAN datrys problemau tebyg iawn yn y pen draw mewn perthynas â rhwydwaith WAN dosbarthedig y sefydliad. Ar yr un pryd, mae gwahaniaethau pensaernïol a swyddogaethol sylweddol mewn technoleg Cisco SD-WAN yn arwain at y broses o ddatrys y problemau hyn i lefel ansawdd arall. I grynhoi, gallwn nodi'r gwahaniaethau sylweddol canlynol rhwng technolegau SD-WAN a DMVPN/PfR:

  • Yn gyffredinol, mae DMVPN/PfR yn defnyddio technolegau prawf amser ar gyfer adeiladu rhwydweithiau VPN troshaen ac, o ran awyren data, maent yn debyg i dechnoleg SD-WAN fwy modern, fodd bynnag, mae nifer o gyfyngiadau ar ffurf cyfluniad statig gorfodol o lwybryddion ac mae'r dewis o dopolegau wedi'i gyfyngu i Hub-n-Spoke. Ar y llaw arall, mae gan DMVPN / PfR rai swyddogaethau nad ydynt ar gael eto o fewn SD-WAN (rydym yn sôn am BFD fesul cais).
  • O fewn yr awyren reoli, mae technolegau yn sylfaenol wahanol. Gan gymryd i ystyriaeth y prosesu canolog o brotocolau signalau, mae SD-WAN yn caniatáu, yn benodol, i gulhau parthau methiant yn sylweddol a “datgysylltu” y broses o drosglwyddo traffig defnyddwyr o ryngweithio signalau - nid yw diffyg rheolwyr dros dro yn effeithio ar y gallu i drosglwyddo traffig defnyddwyr . Ar yr un pryd, nid yw diffyg argaeledd dros dro unrhyw gangen (gan gynnwys yr un ganolog) yn effeithio mewn unrhyw ffordd ar allu canghennau eraill i ryngweithio â'i gilydd a rheolwyr.
  • Mae'r bensaernïaeth ar gyfer ffurfio a chymhwyso polisïau rheoli traffig yn achos SD-WAN hefyd yn well na'r un yn DMVPN / PfR - mae geo-archebu yn cael ei weithredu'n llawer gwell, nid oes cysylltiad â'r Hyb, mae mwy o gyfleoedd ar gyfer dirwyon. -tiwnio polisïau, mae'r rhestr o senarios rheoli traffig a weithredwyd hefyd yn llawer mwy.
  • Mae'r broses offeryniaeth datrysiad hefyd yn sylweddol wahanol. Mae DMVPN yn rhagdybio presenoldeb paramedrau hysbys yn flaenorol y mae'n rhaid eu hadlewyrchu rywsut yn y cyfluniad, sydd braidd yn cyfyngu ar hyblygrwydd yr ateb a'r posibilrwydd o newidiadau deinamig. Yn ei dro, mae SD-WAN yn seiliedig ar y patrwm nad yw'r llwybrydd, ar yr eiliad gychwynnol o gysylltiad, "yn gwybod dim" am ei reolwyr, ond yn gwybod "pwy y gallwch chi ofyn" - mae hyn yn ddigon nid yn unig i sefydlu cyfathrebu yn awtomatig â y rheolwyr, ond hefyd i ffurfio topoleg awyren ddata gwbl gysylltiedig yn awtomatig, y gellir wedyn ei ffurfweddu/newid yn hyblyg gan ddefnyddio polisïau.
  • O ran rheolaeth ganolog, awtomeiddio a monitro, disgwylir i SD-WAN ragori ar alluoedd DMVPN / PfR, sydd wedi esblygu o dechnolegau clasurol ac sy'n dibynnu'n drymach ar linell orchymyn CLI a'r defnydd o systemau NMS seiliedig ar dempledi.
  • Yn SD-WAN, o'i gymharu â DMVPN, mae gofynion diogelwch wedi cyrraedd lefel ansoddol wahanol. Y prif egwyddorion yw dim ymddiriedaeth, scalability a dilysu dau ffactor.

Gall y casgliadau syml hyn roi'r argraff anghywir bod creu rhwydwaith yn seiliedig ar DMVPN/PfR wedi colli pob perthnasedd heddiw. Nid yw hyn yn hollol wir wrth gwrs. Er enghraifft, mewn achosion lle mae'r rhwydwaith yn defnyddio llawer o offer hen ffasiwn ac nad oes unrhyw ffordd i'w ddisodli, gall DMVPN eich galluogi i gyfuno dyfeisiau "hen" a "newydd" yn un rhwydwaith geo-ddosbarthedig gyda llawer o'r manteision a ddisgrifir. uchod.

Ar y llaw arall, dylid cofio bod yr holl lwybryddion corfforaethol Cisco cyfredol sy'n seiliedig ar IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) heddiw yn cefnogi unrhyw fodd gweithredu - llwybro clasurol a DMVPN a SD-WAN - mae'r dewis yn cael ei bennu gan anghenion cyfredol a'r ddealltwriaeth y gallwch chi ddechrau symud tuag at dechnoleg fwy datblygedig ar unrhyw adeg, gan ddefnyddio'r un offer.

Ffynhonnell: hab.com

Ychwanegu sylw