ProHoster > Blog > Verwaltung > Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Seit der Übernahme von Viptela durch Cisco im August 2017 ist Viptela die wichtigste Technologie für die Organisation verteilter Unternehmensnetzwerke geworden Cisco SD-WAN. In den letzten drei Jahren hat die SD-WAN-Technologie viele qualitative und quantitative Veränderungen durchgemacht. Dadurch hat sich die Funktionalität deutlich erweitert und die Unterstützung für klassische Router der Serie ist erschienen Cisco ISR 1000, ISR 4000, ASR 1000 und Virtual CSR 1000v. Gleichzeitig fragen sich viele Cisco-Kunden und -Partner weiterhin: Was sind die Unterschiede zwischen Cisco SD-WAN und bereits bekannten Ansätzen, die auf Technologien wie z Cisco DMVPN и Cisco Performance Routing und wie wichtig sind diese Unterschiede?

Hier sollten wir sofort einen Vorbehalt anbringen, dass DMVPN zusammen mit PfR vor dem Aufkommen von SD-WAN im Cisco-Portfolio eine Schlüsselrolle in der Architektur spielte Cisco IWAN (Intelligentes WAN), was wiederum der Vorgänger der vollwertigen SD-WAN-Technologie war. Trotz der allgemeinen Ähnlichkeit sowohl der zu lösenden Aufgaben als auch der Methoden zu ihrer Lösung erhielt IWAN nie den für SD-WAN erforderlichen Grad an Automatisierung, Flexibilität und Skalierbarkeit, und im Laufe der Zeit ist die Entwicklung von IWAN erheblich zurückgegangen. Gleichzeitig sind die Technologien, aus denen IWAN besteht, nicht verschwunden und viele Kunden nutzen sie weiterhin erfolgreich, auch auf modernen Geräten. Dadurch ist eine interessante Situation entstanden: Mit der gleichen Cisco-Ausstattung können Sie entsprechend den Anforderungen und Erwartungen der Kunden die am besten geeignete WAN-Technologie (klassisch, DMVPN+PfR oder SD-WAN) auswählen.

Ziel des Artikels ist es nicht, alle Funktionen der Cisco SD-WAN- und DMVPN-Technologien (mit oder ohne Performance Routing) im Detail zu analysieren – hierfür gibt es eine große Menge verfügbarer Dokumente und Materialien. Die Hauptaufgabe besteht darin, die wesentlichen Unterschiede zwischen diesen Technologien zu bewerten. Bevor wir jedoch mit der Diskussion dieser Unterschiede fortfahren, erinnern wir uns kurz an die Technologien selbst.

Was ist Cisco DMVPN und warum wird es benötigt?

Cisco DMVPN löst das Problem der dynamischen (= skalierbaren) Verbindung eines entfernten Filialnetzwerks mit dem Netzwerk der Zentrale eines Unternehmens bei Verwendung beliebiger Arten von Kommunikationskanälen, einschließlich des Internets (= mit Verschlüsselung des Kommunikationskanals). Technisch wird dies durch die Schaffung eines virtualisierten Overlay-Netzwerks der L3-VPN-Klasse im Point-to-Multipoint-Modus mit einer logischen Topologie vom Typ „Stern“ (Hub-n-Spoke) realisiert. Um dies zu erreichen, nutzt DMVPN eine Kombination der folgenden Technologien:

  • IP-Routing
  • Multipoint-GRE-Tunnel (mGRE)
  • Next-Hop-Resolution-Protokoll (NHRP)
  • IPSec-Kryptoprofile

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Was sind die Hauptvorteile von Cisco DMVPN im Vergleich zum klassischen Routing über MPLS-VPN-Kanäle?

  • Für den Aufbau eines filialübergreifenden Netzwerks können beliebige Kommunikationskanäle genutzt werden – alles, was IP-Konnektivität zwischen Filialen gewährleisten kann, ist geeignet, während der Datenverkehr verschlüsselt (sofern erforderlich) und ausgeglichen (sofern möglich) erfolgt.
  • Es wird automatisch eine vollständig verbundene Topologie zwischen Zweigen gebildet. Gleichzeitig gibt es statische Tunnel zwischen den zentralen und entfernten Zweigen und dynamische Tunnel bei Bedarf zwischen den entfernten Zweigen (sofern Verkehr vorhanden ist).
  • Die Router der zentralen und entfernten Filiale haben bis auf die IP-Adressen der Schnittstellen die gleiche Konfiguration. Durch die Verwendung von mGRE ist es nicht erforderlich, Dutzende, Hunderte oder sogar Tausende von Tunneln einzeln zu konfigurieren. Das Ergebnis ist eine gute Skalierbarkeit mit dem richtigen Design.

Was ist Cisco Performance Routing und warum wird es benötigt?

Bei der Verwendung von DMVPN in einem branchenübergreifenden Netzwerk bleibt eine äußerst wichtige Frage ungelöst: Wie kann der Zustand jedes DMVPN-Tunnels dynamisch bewertet werden, um die Anforderungen des für unsere Organisation kritischen Datenverkehrs zu erfüllen, und auf der Grundlage einer solchen Bewertung wiederum dynamisch vorgenommen werden? eine Entscheidung über eine Umleitung? Tatsache ist, dass sich DMVPN in diesem Teil kaum vom klassischen Routing unterscheidet. Das Beste, was Sie tun können, besteht darin, QoS-Mechanismen zu konfigurieren, die es Ihnen ermöglichen, den Verkehr in ausgehender Richtung zu priorisieren, aber in keiner Weise in der Lage sind, den Status von zu berücksichtigen den gesamten Weg zu einem oder anderen Zeitpunkt.

Und was tun, wenn der Kanal nur teilweise und nicht vollständig ausfällt – wie erkennt und bewertet man das? DMVPN selbst kann dies nicht leisten. Wenn man bedenkt, dass die Kanäle, die Zweigstellen verbinden, über völlig unterschiedliche Telekommunikationsbetreiber laufen können und völlig unterschiedliche Technologien verwenden, wird diese Aufgabe äußerst nicht trivial. Und hier kommt die Cisco Performance Routing-Technologie zum Einsatz, die zu diesem Zeitpunkt bereits mehrere Entwicklungsstadien durchlaufen hatte.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Die Aufgabe von Cisco Performance Routing (im Folgenden als PfR bezeichnet) besteht darin, den Zustand von Verkehrspfaden (Tunneln) anhand von Schlüsselmetriken zu messen, die für Netzwerkanwendungen wichtig sind – Latenz, Latenzschwankung (Jitter) und Paketverlust (Prozentsatz). Zusätzlich kann die genutzte Bandbreite gemessen werden. Diese Messungen erfolgen so zeitnah wie möglich und gerechtfertigt, und das Ergebnis dieser Messungen ermöglicht es dem Router, der PfR verwendet, dynamisch Entscheidungen über die Notwendigkeit zu treffen, das Routing dieser oder jener Art von Datenverkehr zu ändern.

Somit lässt sich die Aufgabe der DMVPN/PfR-Kombination kurz wie folgt beschreiben:

  • Ermöglichen Sie dem Kunden die Nutzung aller Kommunikationskanäle im WAN-Netzwerk
  • Stellen Sie die höchstmögliche Qualität kritischer Anwendungen auf diesen Kanälen sicher

Was ist Cisco SD-WAN?

Cisco SD-WAN ist eine Technologie, die den SDN-Ansatz nutzt, um das WAN-Netzwerk eines Unternehmens zu erstellen und zu betreiben. Dies bedeutet insbesondere den Einsatz sogenannter Controller (Softwareelemente), die eine zentrale Orchestrierung und automatisierte Konfiguration aller Lösungskomponenten ermöglichen. Im Gegensatz zum kanonischen SDN (Clean Slate-Stil) verwendet Cisco SD-WAN mehrere Arten von Controllern, von denen jeder seine eigene Rolle übernimmt – dies wurde bewusst durchgeführt, um eine bessere Skalierbarkeit und Georedundanz zu gewährleisten.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Bei SD-WAN bleibt die Aufgabe, beliebige Kanäle zu nutzen und den Betrieb von Geschäftsanwendungen sicherzustellen, gleich, gleichzeitig steigen jedoch die Anforderungen an Automatisierung, Skalierbarkeit, Sicherheit und Flexibilität eines solchen Netzwerks.

Diskussion der Unterschiede

Wenn wir nun beginnen, die Unterschiede zwischen diesen Technologien zu analysieren, fallen sie in eine der folgenden Kategorien:

  • Architekturunterschiede – wie sind Funktionen auf verschiedene Komponenten der Lösung verteilt, wie ist das Zusammenspiel dieser Komponenten organisiert und wie wirkt sich dies auf die Leistungsfähigkeit und Flexibilität der Technologie aus?
  • Funktionalität – was kann eine Technologie, was eine andere nicht kann? Und ist es wirklich so wichtig?

Was sind die architektonischen Unterschiede und sind sie wichtig?

Jede dieser Technologien verfügt über viele „bewegliche Teile“, die sich nicht nur in ihren Rollen unterscheiden, sondern auch in der Art und Weise, wie sie miteinander interagieren. Wie gut diese Prinzipien durchdacht sind und wie die allgemeine Mechanik der Lösung direkt ihre Skalierbarkeit, Fehlertoleranz und Gesamteffizienz bestimmt.

Schauen wir uns die verschiedenen Aspekte der Architektur genauer an:

Datenebene – Teil der Lösung, der für die Übertragung des Benutzerverkehrs zwischen der Quelle und dem Empfänger verantwortlich ist. DMVPN und SD-WAN werden im Allgemeinen identisch auf den Routern selbst basierend auf Multipoint-GRE-Tunneln implementiert. Der Unterschied besteht darin, wie der notwendige Parametersatz für diese Tunnel gebildet wird:

  • в DMVPN/PfR ist eine ausschließlich zweistufige Hierarchie von Knoten mit einer Stern- oder Hub-n-Spoke-Topologie. Es sind eine statische Konfiguration des Hubs und eine statische Bindung von Spoke an den Hub sowie eine Interaktion über das NHRP-Protokoll erforderlich, um eine Konnektivität auf der Datenebene herzustellen. Als Konsequenz, Dadurch werden Änderungen am Hub deutlich schwierigerDies betrifft beispielsweise die Änderung/Anbindung neuer WAN-Kanäle oder die Änderung der Parameter bestehender Kanäle.
  • в SD-WAN ist ein vollständig dynamisches Modell zur Erkennung von Parametern installierter Tunnel basierend auf der Steuerungsebene (OMP-Protokoll) und der Orchestrierungsebene (Interaktion mit dem vBond-Controller zur Controller-Erkennung und NAT-Traversal-Aufgaben). Dabei können beliebige überlagerte Topologien verwendet werden, auch hierarchische. Innerhalb der etablierten Overlay-Tunnel-Topologie ist eine flexible Konfiguration der logischen Topologie in jedem einzelnen VPN (VRF) möglich.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Kontrollebene – Funktionen zum Austausch, Filtern und Ändern von Routing- und anderen Informationen zwischen Lösungskomponenten.

  • в DMVPN/PfR – Wird nur zwischen Hub- und Spoke-Routern durchgeführt. Ein direkter Austausch von Routing-Informationen zwischen Spokes ist nicht möglich. Als Konsequenz, Ohne einen funktionierenden Hub können die Steuerebene und die Datenebene nicht funktionierenDies stellt zusätzliche Hochverfügbarkeitsanforderungen an den Hub, die nicht immer erfüllt werden können.
  • в SD-WAN – Die Steuerungsebene wird niemals direkt zwischen Routern ausgeführt – die Interaktion erfolgt auf der Grundlage des OMP-Protokolls und wird notwendigerweise über einen separaten, spezialisierten vSmart-Controllertyp durchgeführt, der die Möglichkeit des Ausgleichs, der Georeservierung und der zentralen Steuerung bietet Signallast. Ein weiteres Merkmal des OMP-Protokolls ist seine erhebliche Verlustresistenz und Unabhängigkeit von der Geschwindigkeit des Kommunikationskanals mit Controllern (natürlich innerhalb angemessener Grenzen). Dies ermöglicht Ihnen ebenso erfolgreich die Platzierung von SD-WAN-Controllern in öffentlichen oder privaten Clouds mit Zugriff über das Internet.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Politikebene – Teil der Lösung, der für die Definition, Verteilung und Anwendung von Verkehrsverwaltungsrichtlinien in einem verteilten Netzwerk verantwortlich ist.

  • DMVPN – wird effektiv durch Quality of Service (QoS)-Richtlinien begrenzt, die individuell auf jedem Router über die CLI- oder Prime Infrastructure-Vorlagen konfiguriert werden.
  • DMVPN/PfR – PfR-Richtlinien werden auf dem zentralisierten Master Controller (MC)-Router über die CLI erstellt und dann automatisch an Zweigstellen-MCs verteilt. In diesem Fall werden dieselben Richtlinienübertragungspfade wie für die Datenebene verwendet. Es besteht keine Möglichkeit, den Austausch von Richtlinien, Routing-Informationen und Benutzerdaten zu trennen. Die Weitergabe von Richtlinien erfordert das Vorhandensein einer IP-Konnektivität zwischen Hub und Spoke. In diesem Fall kann die MC-Funktion bei Bedarf mit einem DMVPN-Router kombiniert werden. Es ist möglich (aber nicht erforderlich), Prime Infrastructure-Vorlagen für die zentralisierte Richtliniengenerierung zu verwenden. Ein wichtiges Merkmal ist, dass die Richtlinie global im gesamten Netzwerk auf die gleiche Weise gebildet wird – Individuelle Richtlinien für einzelne Segmente werden nicht unterstützt.
  • SD-WAN – Verkehrsmanagement und Servicequalitätsrichtlinien werden zentral über die grafische Benutzeroberfläche von Cisco vManage festgelegt, auf die bei Bedarf auch über das Internet zugegriffen werden kann. Sie werden über Signalkanäle direkt oder indirekt über vSmart-Controller verteilt (abhängig von der Art der Richtlinie). Sie sind nicht auf die Datenkonnektivität zwischen Routern angewiesen, weil Verwenden Sie alle verfügbaren Verkehrspfade zwischen dem Controller und dem Router.

    Für verschiedene Netzwerksegmente ist es möglich, flexibel unterschiedliche Richtlinien zu formulieren – der Umfang der Richtlinie wird durch viele eindeutige Identifikatoren bestimmt, die in der Lösung bereitgestellt werden – Zweigstellennummer, Anwendungstyp, Verkehrsrichtung usw.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Orchestrierungsebene – Mechanismen, die es Komponenten ermöglichen, sich gegenseitig dynamisch zu erkennen, nachfolgende Interaktionen zu konfigurieren und zu koordinieren.

  • в DMVPN/PfR Die gegenseitige Erkennung zwischen Routern basiert auf der statischen Konfiguration von Hub-Geräten und der entsprechenden Konfiguration von Spoke-Geräten. Die dynamische Erkennung erfolgt nur für Spoke, das seine Hub-Verbindungsparameter an das Gerät meldet, das wiederum mit Spoke vorkonfiguriert ist. Ohne IP-Konnektivität zwischen Spoke und mindestens einem Hub ist es unmöglich, eine Datenebene oder eine Steuerungsebene zu bilden.
  • в SD-WAN Die Orchestrierung der Lösungskomponenten erfolgt über den vBond-Controller, mit dem jede Komponente (Router und vManage/vSmart-Controller) zunächst eine IP-Konnektivität herstellen muss.

    Die Komponenten kennen zunächst nicht die Verbindungsparameter der jeweils anderen – hierfür benötigen sie den vBond Intermediary Orchestrator. Das allgemeine Prinzip ist wie folgt: Jede Komponente lernt in der Anfangsphase (automatisch oder statisch) nur die Verbindungsparameter zu vBond kennen, dann informiert vBond den Router über die vManage- und vSmart-Controller (zuvor entdeckt), was einen automatischen Aufbau ermöglicht alle notwendigen Signalverbindungen.

    Der nächste Schritt besteht darin, dass der neue Router über die OMP-Kommunikation mit dem vSmart-Controller etwas über die anderen Router im Netzwerk lernt. Somit ist der Router in der Lage, ohne zunächst etwas über die Netzwerkparameter zu wissen, vollautomatisch Controller zu erkennen und sich mit ihnen zu verbinden und dann auch automatisch die Konnektivität mit anderen Routern zu erkennen und aufzubauen. In diesem Fall sind die Verbindungsparameter aller Komponenten zunächst unbekannt und können sich im Betrieb ändern.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Managementebene – Teil der Lösung, die eine zentrale Verwaltung und Überwachung bietet.

  • DMVPN/PfR – Es wird keine spezielle Managementebenenlösung bereitgestellt. Für die grundlegende Automatisierung und Überwachung können Produkte wie Cisco Prime Infrastructure verwendet werden. Jeder Router kann über die CLI-Befehlszeile gesteuert werden. Eine Integration mit externen Systemen über API ist nicht vorgesehen.
  • SD-WAN – Die gesamte regelmäßige Interaktion und Überwachung erfolgt zentral über die grafische Oberfläche des vManage-Controllers. Alle Funktionen der Lösung stehen ausnahmslos für die Konfiguration über vManage sowie über eine vollständig dokumentierte REST-API-Bibliothek zur Verfügung.

    Alle SD-WAN-Netzwerkeinstellungen in vManage basieren auf zwei Hauptkonstrukten – der Bildung von Gerätevorlagen (Gerätevorlage) und der Bildung einer Richtlinie, die die Logik des Netzwerkbetriebs und der Verkehrsverarbeitung bestimmt. Gleichzeitig wählt vManage durch die Übertragung der vom Administrator generierten Richtlinie automatisch aus, welche Änderungen und auf welchen einzelnen Geräten/Controllern vorgenommen werden müssen, was die Effizienz und Skalierbarkeit der Lösung deutlich erhöht.

    Über die vManage-Schnittstelle ist nicht nur die Konfiguration der Cisco SD-WAN-Lösung möglich, sondern auch eine vollständige Überwachung des Status aller Komponenten der Lösung, bis hin zum aktuellen Stand der Metriken für einzelne Tunnel und Statistiken zur Nutzung verschiedener Anwendungen basierend auf DPI-Analyse.

    Trotz der Zentralisierung der Interaktion verfügen alle Komponenten (Controller und Router) auch über eine voll funktionsfähige CLI-Befehlszeile, die in der Implementierungsphase oder im Notfall zur lokalen Diagnose erforderlich ist. Im Normalmodus (wenn ein Signalkanal zwischen Komponenten vorhanden ist) auf Routern steht die Befehlszeile nur zur Diagnose und nicht zum Vornehmen lokaler Änderungen zur Verfügung, was die lokale Sicherheit gewährleistet und die einzige Quelle für Änderungen in einem solchen Netzwerk vManage ist.

Integrierte Sicherheit – Hier sollten wir nicht nur über den Schutz der Benutzerdaten bei der Übertragung über offene Kanäle sprechen, sondern auch über die Gesamtsicherheit des WAN-Netzwerks basierend auf der gewählten Technologie.

  • в DMVPN/PfR Es ist möglich, Benutzerdaten und Signalisierungsprotokolle zu verschlüsseln. Bei Verwendung bestimmter Router-Modelle stehen zusätzlich Firewall-Funktionen mit Traffic Inspection, IPS/IDS zur Verfügung. Mit VRF ist es möglich, Filialnetze zu segmentieren. Es ist möglich, (Ein-Faktor-)Steuerungsprotokolle zu authentifizieren.

    In diesem Fall gilt der Remote-Router standardmäßig als vertrauenswürdiges Element des Netzwerks – d. h. Fälle einer physischen Kompromittierung einzelner Geräte und die Möglichkeit eines unbefugten Zugriffs auf diese werden nicht angenommen oder berücksichtigt; es gibt keine Zwei-Faktor-Authentifizierung von Lösungskomponenten, die im Fall eines geografisch verteilten Netzwerks der Fall ist kann erhebliche zusätzliche Risiken mit sich bringen.

  • в SD-WAN Analog zu DMVPN besteht die Möglichkeit, Benutzerdaten zu verschlüsseln, jedoch mit deutlich erweiterter Netzwerksicherheit und L3/VRF-Segmentierungsfunktionen (Firewall, IPS/IDS, URL-Filterung, DNS-Filterung, AMP/TG, SASE, TLS/SSL-Proxy, usw.) d.). Gleichzeitig erfolgt der Austausch von Verschlüsselungsschlüsseln effizienter über vSmart-Controller (statt direkt) über vorab eingerichtete Signalkanäle, die durch DTLS/TLS-Verschlüsselung auf Basis von Sicherheitszertifikaten geschützt sind. Dies wiederum garantiert die Sicherheit solcher Austausche und sorgt für eine bessere Skalierbarkeit der Lösung auf bis zu Zehntausende Geräte im selben Netzwerk.

    Alle Signalisierungsverbindungen (Controller-zu-Controller, Controller-Router) sind ebenfalls auf Basis von DTLS/TLS geschützt. Router werden während der Produktion mit Sicherheitszertifikaten ausgestattet, mit der Möglichkeit des Austauschs/der Erweiterung. Die Zwei-Faktor-Authentifizierung wird durch die obligatorische und gleichzeitige Erfüllung zweier Bedingungen erreicht, damit der Router/Controller in einem SD-WAN-Netzwerk funktioniert:

    • Gültiges Sicherheitszertifikat
    • Ausdrückliche und bewusste Aufnahme jeder Komponente in die „weiße“ Liste der zulässigen Geräte durch den Administrator.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Funktionelle Unterschiede zwischen SD-WAN und DMVPN/PfR

Bei der Erörterung funktionaler Unterschiede ist anzumerken, dass viele von ihnen eine Fortsetzung architektonischer Unterschiede sind – es ist kein Geheimnis, dass Entwickler bei der Gestaltung der Architektur einer Lösung von den Fähigkeiten ausgehen, die sie am Ende erhalten möchten. Schauen wir uns die wichtigsten Unterschiede zwischen den beiden Technologien an.

AppQ (Application Quality) – Funktionen zur Sicherstellung der Übertragungsqualität des Geschäftsanwendungsverkehrs

Die Schlüsselfunktionen der betrachteten Technologien zielen darauf ab, das Benutzererlebnis bei der Nutzung geschäftskritischer Anwendungen in einem verteilten Netzwerk so weit wie möglich zu verbessern. Dies ist insbesondere dann wichtig, wenn ein Teil der Infrastruktur nicht von der IT kontrolliert wird oder nicht einmal eine erfolgreiche Datenübertragung gewährleistet.

DMVPN selbst stellt solche Mechanismen nicht zur Verfügung. Das Beste, was man in einem klassischen DMVPN-Netzwerk tun kann, besteht darin, den ausgehenden Datenverkehr nach Anwendung zu klassifizieren und ihn bei der Übertragung zum WAN-Kanal zu priorisieren. Die Wahl eines DMVPN-Tunnels wird in diesem Fall nur von seiner Verfügbarkeit und dem Ergebnis des Betriebs von Routing-Protokollen bestimmt. Gleichzeitig werden der End-to-End-Zustand des Pfads/Tunnels und seine mögliche teilweise Verschlechterung nicht in Bezug auf Schlüsselmetriken berücksichtigt, die für Netzwerkanwendungen von Bedeutung sind – Verzögerung, Verzögerungsschwankung (Jitter) und Verluste (%). ). In dieser Hinsicht verliert der direkte Vergleich von klassischem DMVPN mit SD-WAN im Hinblick auf die Lösung von AppQ-Problemen jede Bedeutung – DMVPN kann dieses Problem nicht lösen. Wenn man in diesem Zusammenhang die Cisco Performance Routing (PfR)-Technologie hinzufügt, ändert sich die Situation und der Vergleich mit Cisco SD-WAN wird aussagekräftiger.

Bevor wir auf die Unterschiede eingehen, werfen wir einen kurzen Blick auf die Ähnlichkeit der Technologien. Also beide Technologien:

  • verfügen über einen Mechanismus, der es Ihnen ermöglicht, den Status jedes eingerichteten Tunnels anhand bestimmter Metriken dynamisch zu bewerten – mindestens Verzögerung, Verzögerungsschwankung und Paketverlust (%)
  • Verwenden Sie einen bestimmten Satz von Tools, um Verkehrsmanagementregeln (Richtlinien) zu erstellen, zu verteilen und anzuwenden, und berücksichtigen Sie dabei die Ergebnisse der Messung des Zustands wichtiger Tunnelmetriken.
  • Klassifizieren Sie den Anwendungsverkehr auf den Ebenen L3–L4 (DSCP) des OSI-Modells oder anhand von L7-Anwendungssignaturen basierend auf im Router integrierten DPI-Mechanismen
  • Für wichtige Anwendungen können Sie damit akzeptable Schwellenwerte von Metriken, Regeln für die standardmäßige Übertragung des Datenverkehrs und Regeln für die Umleitung des Datenverkehrs bei Überschreitung von Schwellenwerten festlegen.
  • Bei der Kapselung des Datenverkehrs in GRE/IPSec nutzen sie den bereits etablierten Branchenmechanismus zur Übertragung interner DSCP-Markierungen an den externen GRE/IPSEC-Paketheader, der die Synchronisierung der QoS-Richtlinien der Organisation und des Telekommunikationsbetreibers ermöglicht (sofern ein entsprechendes SLA vorliegt). .

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Wie unterscheiden sich die End-to-End-Metriken von SD-WAN und DMVPN/PfR?

DMVPN/PfR

  • Zur Auswertung standardmäßiger Tunnelzustandsmetriken werden sowohl aktive als auch passive Softwaresensoren (Probes) verwendet. Aktive basieren auf dem Benutzerverkehr, passive emulieren diesen Verkehr (sofern er nicht vorhanden ist).
  • Es gibt keine Feinabstimmung der Timer und der Bedingungen für die Degradationserkennung – der Algorithmus ist festgelegt.
  • Zusätzlich ist eine Messung der genutzten Bandbreite in ausgehender Richtung möglich. Dies verleiht DMVPN/PfR zusätzliche Flexibilität bei der Verkehrsverwaltung.
  • Gleichzeitig verlassen sich einige PfR-Mechanismen bei Überschreitung von Metriken auf Feedback-Signalisierung in Form spezieller TCA-Nachrichten (Threshold Crossing Alert), die vom Verkehrsempfänger an die Quelle gesendet werden müssen, die wiederum davon ausgeht, dass der Zustand der Die gemessenen Kanäle sollten mindestens für die Übertragung solcher TCA-Nachrichten ausreichen. Was in den meisten Fällen kein Problem darstellt, aber natürlich nicht garantiert werden kann.

SD-WAN

  • Für die End-to-End-Auswertung von Standard-Tunnelzustandsmetriken wird das BFD-Protokoll im Echomodus verwendet. In diesem Fall ist keine spezielle Rückmeldung in Form von TCA oder ähnlichen Nachrichten erforderlich – die Isolierung der Fehlerdomänen bleibt erhalten. Es ist auch nicht erforderlich, dass Benutzerverkehr vorhanden ist, um den Tunnelstatus auszuwerten.
  • Es ist möglich, BFD-Timer fein abzustimmen, um die Reaktionsgeschwindigkeit und Empfindlichkeit des Algorithmus gegenüber einer Verschlechterung des Kommunikationskanals von mehreren Sekunden auf Minuten zu regulieren.

    Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

  • Zum Zeitpunkt des Schreibens gibt es in jedem Tunnel nur eine BFD-Sitzung. Dies führt möglicherweise zu einer geringeren Granularität bei der Tunnelzustandsanalyse. In der Realität kann dies nur dann zu einer Einschränkung werden, wenn Sie eine WAN-Verbindung basierend auf MPLS L2/L3 VPN mit einem vereinbarten QoS-SLA verwenden – wenn die DSCP-Markierung des BFD-Verkehrs (nach der Kapselung in IPSec/GRE) mit der Hochprioritätswarteschlange in übereinstimmt B. im Netzwerk des Telekommunikationsbetreibers, kann dies Auswirkungen auf die Genauigkeit und Geschwindigkeit der Degradationserkennung für Datenverkehr mit niedriger Priorität haben. Gleichzeitig ist es möglich, die standardmäßige BFD-Kennzeichnung zu ändern, um das Risiko solcher Situationen zu verringern. In zukünftigen Versionen der Cisco SD-WAN-Software werden detailliertere BFD-Einstellungen sowie die Möglichkeit erwartet, mehrere BFD-Sitzungen innerhalb desselben Tunnels mit individuellen DSCP-Werten (für verschiedene Anwendungen) zu starten.
  • Mit BFD können Sie außerdem die maximale Paketgröße abschätzen, die ohne Fragmentierung durch einen bestimmten Tunnel übertragen werden kann. Dadurch kann SD-WAN Parameter wie MTU und TCP MSS Adjust dynamisch anpassen, um die verfügbare Bandbreite auf jeder Verbindung optimal zu nutzen.
  • Im SD-WAN steht auch die Möglichkeit der QoS-Synchronisierung von Telekommunikationsbetreibern zur Verfügung, nicht nur auf Basis von L3-DSCP-Feldern, sondern auch auf Basis von L2-CoS-Werten, die im Filialnetz von spezialisierten Geräten – zum Beispiel IP – automatisch generiert werden können Telefone

Wie unterscheiden sich die Fähigkeiten, Methoden zum Definieren und Anwenden von AppQ-Richtlinien?

DMVPN/PfR-Richtlinien:

  • Definiert auf den Routern der zentralen Zweigstelle über die CLI-Befehlszeile oder CLI-Konfigurationsvorlagen. Das Generieren von CLI-Vorlagen erfordert Vorbereitung und Kenntnisse der Richtliniensyntax.

    Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

  • Global definiert ohne die Möglichkeit einer individuellen Konfiguration/Änderung an die Anforderungen einzelner Netzwerksegmente.
  • Die grafische Benutzeroberfläche bietet keine interaktive Richtliniengenerierung.
  • Das Nachverfolgen von Änderungen, die Vererbung und das Erstellen mehrerer Richtlinienversionen für einen schnellen Wechsel sind nicht vorgesehen.
  • Automatische Verteilung an Router entfernter Zweigstellen. Dabei werden die gleichen Kommunikationskanäle genutzt wie bei der Übertragung von Nutzdaten. Wenn es keinen Kommunikationskanal zwischen der zentralen und der entfernten Zweigstelle gibt, ist die Verteilung/Änderung von Richtlinien nicht möglich.
  • Sie werden auf jedem Router verwendet und verändern bei Bedarf das Ergebnis von Standard-Routing-Protokollen mit höherer Priorität.
  • In Fällen, in denen es bei allen Zweigstellen-WAN-Verbindungen zu erheblichen Verkehrsverlusten kommt, Es sind keine Kompensationsmechanismen vorgesehen.

SD-WAN-Richtlinien:

  • Definiert in der vManage-GUI über den interaktiven Vorlagenassistenten.
  • Unterstützt das Erstellen mehrerer Richtlinien, das Kopieren, Vererben und Wechseln zwischen Richtlinien in Echtzeit.
  • Unterstützt individuelle Richtlinieneinstellungen für verschiedene Netzwerksegmente (Zweige)
  • Sie werden über jeden verfügbaren Signalkanal zwischen dem Controller und dem Router und/oder vSmart verteilt – hängen nicht direkt von der Datenebenenkonnektivität zwischen den Routern ab. Dies erfordert natürlich eine IP-Konnektivität zwischen dem Router selbst und den Controllern.

    Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

  • Für den Fall, dass in allen verfügbaren Zweigen eines Zweigs erhebliche Datenverluste auftreten, die akzeptable Schwellenwerte für kritische Anwendungen überschreiten, können zusätzliche Mechanismen verwendet werden, die die Übertragungssicherheit erhöhen:
    • FEC (Forward Error Correction) – verwendet einen speziellen redundanten Codierungsalgorithmus. Bei der Übertragung kritischen Datenverkehrs über Kanäle mit einem erheblichen Verlustanteil kann FEC automatisch aktiviert werden und ermöglicht bei Bedarf die Wiederherstellung des verlorenen Teils der Daten. Dadurch erhöht sich die genutzte Übertragungsbandbreite geringfügig, die Zuverlässigkeit wird jedoch deutlich verbessert.

      Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

    • Duplizierung von Datenströmen – Zusätzlich zu FEC kann die Richtlinie eine automatische Duplizierung des Datenverkehrs ausgewählter Anwendungen vorsehen, falls ein noch schwerwiegenderes Ausmaß an Verlusten auftritt, die nicht durch FEC ausgeglichen werden können. In diesem Fall werden die ausgewählten Daten durch alle Tunnel zum empfangenden Zweig übertragen, mit anschließender Deduplizierung (Verwerfen zusätzlicher Kopien von Paketen). Der Mechanismus erhöht die Kanalauslastung erheblich, erhöht aber auch die Übertragungssicherheit erheblich.

Cisco SD-WAN-Funktionen, ohne direkte Analoga in DMVPN/PfR

Die Architektur der Cisco SD-WAN-Lösung ermöglicht es Ihnen in einigen Fällen, Funktionen zu erhalten, die innerhalb von DMVPN/PfR entweder nur äußerst schwierig zu implementieren sind, aufgrund der erforderlichen Arbeitskosten unpraktisch oder völlig unmöglich sind. Schauen wir uns die interessantesten davon an:

Verkehrstechnik (TE)

TE umfasst Mechanismen, die es dem Datenverkehr ermöglichen, vom durch Routing-Protokolle gebildeten Standardpfad abzuzweigen. TE wird häufig verwendet, um eine hohe Verfügbarkeit von Netzwerkdiensten sicherzustellen, indem kritischer Datenverkehr schnell und/oder proaktiv auf einen alternativen (disjunkten) Übertragungspfad übertragen werden kann, um im Falle eines Ausfalls eine bessere Servicequalität oder eine schnellere Wiederherstellung sicherzustellen auf dem Hauptweg.

Die Schwierigkeit bei der Umsetzung von TE liegt in der Notwendigkeit, vorab einen alternativen Pfad zu berechnen und zu reservieren (prüfen). In MPLS-Netzwerken von Telekommunikationsbetreibern wird dieses Problem durch Technologien wie MPLS Traffic-Engineering mit Erweiterungen der IGP-Protokolle und des RSVP-Protokolls gelöst. Auch die Segment-Routing-Technologie, die stärker für die zentralisierte Konfiguration und Orchestrierung optimiert ist, erfreut sich in letzter Zeit immer größerer Beliebtheit. In klassischen WAN-Netzwerken sind diese Technologien meist nicht vertreten oder beschränken sich auf den Einsatz von Hop-by-Hop-Mechanismen wie Policy-Based Routing (PBR), die in der Lage sind, den Datenverkehr zu verzweigen, diesen aber auf jedem Router separat umsetzen – ohne zu nehmen Berücksichtigen Sie den Gesamtzustand des Netzwerks oder des PBR-Ergebnisses in den vorherigen oder nachfolgenden Schritten. Das Ergebnis der Verwendung dieser TE-Optionen ist enttäuschend – MPLS TE wird aufgrund der Komplexität der Konfiguration und des Betriebs in der Regel nur im kritischsten Teil des Netzwerks (Kern) verwendet, und PBR wird auf einzelnen Routern ohne verwendet die Möglichkeit, eine einheitliche PBR-Richtlinie für das gesamte Netzwerk zu erstellen. Dies gilt natürlich auch für DMVPN-basierte Netzwerke.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

SD-WAN bietet diesbezüglich eine deutlich elegantere Lösung, die nicht nur einfach zu konfigurieren ist, sondern auch deutlich besser skaliert. Dies ist ein Ergebnis der verwendeten Control-Plane- und Policy-Plane-Architekturen. Durch die Implementierung einer Richtlinienebene im SD-WAN können Sie die TE-Richtlinie zentral definieren – welcher Datenverkehr ist von Interesse? für welche VPNs? Durch welche Knoten/Tunnel ist die Bildung einer Alternativroute erforderlich bzw. verboten? Die Zentralisierung der Steuerungsebenenverwaltung auf Basis von vSmart-Controllern wiederum ermöglicht es Ihnen, Routing-Ergebnisse zu ändern, ohne auf die Einstellungen einzelner Geräte zurückgreifen zu müssen – Router sehen bereits nur das Ergebnis der Logik, die in der vManage-Schnittstelle generiert und zur Verwendung an übertragen wurde vSmart.

Service-Verkettung

Die Bildung von Serviceketten ist im klassischen Routing eine noch arbeitsintensivere Aufgabe als der bereits beschriebene Traffic-Engineering-Mechanismus. Tatsächlich ist es in diesem Fall nicht nur notwendig, eine spezielle Route für eine bestimmte Netzwerkanwendung zu erstellen, sondern auch sicherzustellen, dass der Datenverkehr auf bestimmten (oder allen) Knoten des SD-WAN-Netzwerks zur Verarbeitung aus dem Netzwerk entfernt werden kann eine spezielle Anwendung oder ein spezieller Dienst (Firewall, Balancing, Caching, Inspektionsverkehr usw.). Gleichzeitig ist es notwendig, den Zustand dieser externen Dienste kontrollieren zu können, um Black-Holing-Situationen zu verhindern, und es werden auch Mechanismen benötigt, die es ermöglichen, solche externen Dienste des gleichen Typs an unterschiedlichen geografischen Standorten zu platzieren mit der Fähigkeit des Netzwerks, automatisch den optimalsten Dienstknoten für die Verarbeitung des Datenverkehrs einer bestimmten Zweigstelle auszuwählen. Im Fall von Cisco SD-WAN ist dies recht einfach zu erreichen, indem eine geeignete zentralisierte Richtlinie erstellt wird, die alle Aspekte der Zieldienstkette zu einem einzigen Ganzen „zusammenfügt“ und die Datenebenen- und Steuerungsebenenlogik nur dort automatisch ändert und wenn nötig.

Wird Cisco SD-WAN den Zweig abschneiden, auf dem sich DMVPN befindet?

Die Möglichkeit, eine geoverteilte Verarbeitung des Datenverkehrs ausgewählter Anwendungstypen in einer bestimmten Reihenfolge auf speziellen (aber nicht mit dem SD-WAN-Netzwerk selbst zusammenhängenden) Geräten zu erstellen, ist vielleicht der deutlichste Beweis für die Vorteile von Cisco SD-WAN gegenüber dem klassischen Technologien und sogar einige alternative SD-Lösungen -WAN von anderen Herstellern.

Das Ergebnis?

Offensichtlich sowohl DMVPN (mit oder ohne Performance Routing) als auch Cisco SD-WAN am Ende sehr ähnliche Probleme lösen in Bezug auf das verteilte WAN-Netzwerk der Organisation. Gleichzeitig führen erhebliche architektonische und funktionale Unterschiede in der Cisco SD-WAN-Technologie zum Prozess der Lösung dieser Probleme auf eine andere Qualitätsstufe. Zusammenfassend können wir die folgenden wesentlichen Unterschiede zwischen SD-WAN- und DMVPN/PfR-Technologien feststellen:

  • DMVPN/PfR nutzt im Allgemeinen bewährte Technologien zum Aufbau von Overlay-VPN-Netzwerken und ähnelt hinsichtlich der Datenebene der moderneren SD-WAN-Technologie, es gibt jedoch eine Reihe von Einschränkungen in Form einer obligatorischen statischen Konfiguration Die Anzahl der Router und die Auswahl der Topologien ist auf Hub-n-Spoke beschränkt. Andererseits verfügt DMVPN/PfR über einige Funktionen, die innerhalb von SD-WAN noch nicht verfügbar sind (wir sprechen von BFD pro Anwendung).
  • Innerhalb der Kontrollebene unterscheiden sich die Technologien grundlegend. Unter Berücksichtigung der zentralisierten Verarbeitung von Signalisierungsprotokollen ermöglicht SD-WAN insbesondere eine deutliche Eingrenzung von Fehlerdomänen und eine „Entkopplung“ des Prozesses der Übertragung des Benutzerverkehrs von der Signalisierungsinteraktion – eine vorübergehende Nichtverfügbarkeit von Controllern hat keinen Einfluss auf die Fähigkeit, Benutzerverkehr zu übertragen . Gleichzeitig beeinträchtigt die vorübergehende Nichtverfügbarkeit einer Zweigstelle (einschließlich der zentralen) in keiner Weise die Fähigkeit anderer Zweigstellen, miteinander und mit den Controllern zu interagieren.
  • Auch die Architektur für die Bildung und Anwendung von Verkehrsmanagementrichtlinien ist bei SD-WAN der bei DMVPN/PfR überlegen – Georeservierung ist viel besser umgesetzt, es gibt keine Verbindung zum Hub, es gibt mehr Möglichkeiten zur Feinabstimmung -Tuning-Richtlinien ist auch die Liste der implementierten Verkehrsmanagementszenarien viel größer.
  • Auch der Lösungsorchestrierungsprozess unterscheidet sich deutlich. DMVPN setzt das Vorhandensein zuvor bekannter Parameter voraus, die sich irgendwie in der Konfiguration widerspiegeln müssen, was die Flexibilität der Lösung und die Möglichkeit dynamischer Änderungen etwas einschränkt. SD-WAN wiederum basiert auf dem Paradigma, dass der Router im ersten Moment der Verbindung „nichts“ über seine Controller weiß, aber weiß, „wen man fragen kann“ – das reicht nicht nur aus, um automatisch eine Kommunikation herzustellen die Controller, sondern auch zum automatischen Bilden einer vollständig verbundenen Datenebenen-Topologie, die dann mithilfe von Richtlinien flexibel konfiguriert/geändert werden kann.
  • Im Hinblick auf zentralisierte Verwaltung, Automatisierung und Überwachung wird SD-WAN voraussichtlich die Fähigkeiten von DMVPN/PfR übertreffen, die sich aus klassischen Technologien entwickelt haben und stärker auf der CLI-Befehlszeile und der Verwendung vorlagenbasierter NMS-Systeme basieren.
  • Bei SD-WAN haben die Sicherheitsanforderungen im Vergleich zu DMVPN ein anderes qualitatives Niveau erreicht. Die Hauptprinzipien sind Zero Trust, Skalierbarkeit und Zwei-Faktor-Authentifizierung.

Diese einfachen Schlussfolgerungen könnten den falschen Eindruck erwecken, dass die Schaffung eines Netzwerks auf Basis von DMVPN/PfR heute jegliche Relevanz verloren hat. Das stimmt natürlich nicht ganz. In Fällen, in denen das Netzwerk beispielsweise viele veraltete Geräte verwendet und es keine Möglichkeit gibt, diese zu ersetzen, können Sie mit DMVPN „alte“ und „neue“ Geräte in einem einzigen geografisch verteilten Netzwerk kombinieren und dabei viele der beschriebenen Vorteile nutzen über.

Andererseits ist zu bedenken, dass alle aktuellen Cisco-Unternehmensrouter auf Basis von IOS Die Wahl wird von den aktuellen Bedürfnissen und dem Verständnis bestimmt, dass man jederzeit mit der gleichen Ausrüstung auf eine fortschrittlichere Technologie umsteigen kann.

Source: habr.com

Kommentar hinzufügen