ProHoster > Blog > διαχείριση > Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Από τον Αύγουστο του 2017, όταν η Cisco εξαγόρασε τη Viptela, η κύρια τεχνολογία που προσφέρεται για την οργάνωση κατανεμημένων εταιρικών δικτύων έχει γίνει Cisco SD-WAN. Τα τελευταία 3 χρόνια, η τεχνολογία SD-WAN έχει υποστεί πολλές αλλαγές, τόσο ποιοτικές όσο και ποσοτικές. Έτσι, η λειτουργικότητα έχει επεκταθεί σημαντικά και έχει εμφανιστεί υποστήριξη σε κλασικούς δρομολογητές της σειράς Cisco ISR 1000, ISR 4000, ASR 1000 και Virtual CSR 1000v. Ταυτόχρονα, πολλοί πελάτες και συνεργάτες της Cisco συνεχίζουν να αναρωτιούνται: ποιες είναι οι διαφορές μεταξύ του Cisco SD-WAN και των ήδη γνωστών προσεγγίσεων που βασίζονται σε τεχνολογίες όπως π.χ Cisco DMVPN и Cisco Performance Routing και πόσο σημαντικές είναι αυτές οι διαφορές;

Εδώ θα πρέπει να κάνουμε αμέσως επιφύλαξη ότι πριν από την εμφάνιση του SD-WAN στο χαρτοφυλάκιο της Cisco, το DMVPN μαζί με το PfR αποτελούσαν βασικό μέρος στην αρχιτεκτονική Cisco IWAN (Ευφυές WAN), το οποίο με τη σειρά του ήταν ο προκάτοχος της πλήρους τεχνολογίας SD-WAN. Παρά τη γενική ομοιότητα τόσο των εργασιών που επιλύονται όσο και των μεθόδων επίλυσής τους, το IWAN δεν έλαβε ποτέ το επίπεδο αυτοματισμού, ευελιξίας και επεκτασιμότητας που απαιτούνται για το SD-WAN και με την πάροδο του χρόνου, η ανάπτυξη του IWAN μειώθηκε σημαντικά. Ταυτόχρονα, οι τεχνολογίες που απαρτίζουν το IWAN δεν έχουν εξαφανιστεί και πολλοί πελάτες συνεχίζουν να τις χρησιμοποιούν με επιτυχία, συμπεριλαμβανομένου του σύγχρονου εξοπλισμού. Ως αποτέλεσμα, έχει προκύψει μια ενδιαφέρουσα κατάσταση - ο ίδιος εξοπλισμός Cisco σάς επιτρέπει να επιλέξετε την καταλληλότερη τεχνολογία WAN (κλασική, DMVPN+PfR ή SD-WAN) σύμφωνα με τις απαιτήσεις και τις προσδοκίες των πελατών.

Το άρθρο δεν σκοπεύει να αναλύσει λεπτομερώς όλες τις δυνατότητες των τεχνολογιών Cisco SD-WAN και DMVPN (με ή χωρίς Performance Routing) - υπάρχει τεράστιος αριθμός διαθέσιμων εγγράφων και υλικών για αυτό. Το κύριο καθήκον είναι να προσπαθήσουμε να αξιολογήσουμε τις βασικές διαφορές μεταξύ αυτών των τεχνολογιών. Αλλά προτού προχωρήσουμε στη συζήτηση αυτών των διαφορών, ας θυμηθούμε εν συντομία τις ίδιες τις τεχνολογίες.

Τι είναι το Cisco DMVPN και γιατί χρειάζεται;

Το Cisco DMVPN επιλύει το πρόβλημα της δυναμικής (= κλιμακούμενης) σύνδεσης ενός απομακρυσμένου δικτύου υποκαταστημάτων στο δίκτυο του κεντρικού γραφείου μιας επιχείρησης κατά τη χρήση αυθαίρετων τύπων καναλιών επικοινωνίας, συμπεριλαμβανομένου του Διαδικτύου (= με κρυπτογράφηση του καναλιού επικοινωνίας). Τεχνικά, αυτό επιτυγχάνεται με τη δημιουργία ενός εικονικού δικτύου επικάλυψης κλάσης L3 VPN σε λειτουργία σημείου προς πολλαπλά σημεία με λογική τοπολογία τύπου «Star» (Hub-n-Spoke). Για να επιτευχθεί αυτό, το DMVPN χρησιμοποιεί έναν συνδυασμό των ακόλουθων τεχνολογιών:

  • Δρομολόγηση IP
  • Σήραγγες GRE πολλαπλών σημείων (mGRE)
  • Επόμενο Πρωτόκολλο Ανάλυσης Hop (NHRP)
  • Προφίλ IPSec Crypto

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Ποια είναι τα κύρια πλεονεκτήματα του Cisco DMVPN σε σύγκριση με την κλασική δρομολόγηση με χρήση καναλιών MPLS VPN;

  • Για τη δημιουργία ενός διεπαγγελματικού δικτύου, είναι δυνατή η χρήση οποιωνδήποτε καναλιών επικοινωνίας - ό,τι μπορεί να παρέχει σύνδεση IP μεταξύ υποκαταστημάτων είναι κατάλληλο, ενώ η κίνηση θα είναι κρυπτογραφημένη (όπου χρειάζεται) και ισορροπημένη (όπου είναι δυνατόν)
  • Μια πλήρως συνδεδεμένη τοπολογία μεταξύ των διακλαδώσεων σχηματίζεται αυτόματα. Ταυτόχρονα, υπάρχουν στατικές σήραγγες μεταξύ των κεντρικών και απομακρυσμένων διακλαδώσεων και δυναμικές σήραγγες κατά παραγγελία μεταξύ των απομακρυσμένων διακλαδώσεων (εάν υπάρχει κίνηση)
  • Οι δρομολογητές του κεντρικού και του απομακρυσμένου κλάδου έχουν την ίδια διαμόρφωση μέχρι τις διευθύνσεις IP των διεπαφών. Με τη χρήση του mGRE, δεν χρειάζεται να διαμορφώσετε μεμονωμένα δεκάδες, εκατοντάδες ή ακόμα και χιλιάδες σήραγγες. Ως αποτέλεσμα, αξιοπρεπής επεκτασιμότητα με το σωστό σχεδιασμό.

Τι είναι το Cisco Performance Routing και γιατί χρειάζεται;

Όταν χρησιμοποιείτε το DMVPN σε ένα διεπαγγελματικό δίκτυο, ένα εξαιρετικά σημαντικό ερώτημα παραμένει άλυτο - πώς να αξιολογήσετε δυναμικά την κατάσταση καθεμιάς από τις σήραγγες DMVPN ως προς τη συμμόρφωση με τις απαιτήσεις της κυκλοφορίας που είναι κρίσιμες για τον οργανισμό μας και, πάλι, με βάση μια τέτοια αξιολόγηση, να κάνουμε δυναμικά απόφαση για αλλαγή δρομολόγησης; Το γεγονός είναι ότι το DMVPN σε αυτό το μέρος διαφέρει ελάχιστα από την κλασική δρομολόγηση - το καλύτερο που μπορεί να γίνει είναι να διαμορφώσετε μηχανισμούς QoS που θα σας επιτρέψουν να δώσετε προτεραιότητα στην κυκλοφορία προς την εξερχόμενη κατεύθυνση, αλλά σε καμία περίπτωση δεν είναι σε θέση να λάβετε υπόψη την κατάσταση ολόκληρη τη διαδρομή τη μια ή την άλλη στιγμή.

Και τι να κάνετε εάν το κανάλι υποβαθμιστεί μερικώς και όχι πλήρως - πώς να το εντοπίσετε και να το αξιολογήσετε; Το ίδιο το DMVPN δεν μπορεί να το κάνει αυτό. Λαμβάνοντας υπόψη ότι τα κανάλια που συνδέουν υποκαταστήματα μπορούν να περάσουν από εντελώς διαφορετικούς τηλεπικοινωνιακούς φορείς, χρησιμοποιώντας εντελώς διαφορετικές τεχνολογίες, αυτό το έργο γίνεται εξαιρετικά μη τετριμμένο. Και εδώ έρχεται να σώσει η τεχνολογία Cisco Performance Routing, η οποία μέχρι τότε είχε ήδη περάσει από πολλά στάδια ανάπτυξης.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Το καθήκον του Cisco Performance Routing (εφεξής PfR) καταλήγει στη μέτρηση της κατάστασης των μονοπατιών (τούνελ) της κυκλοφορίας με βάση βασικές μετρήσεις σημαντικές για εφαρμογές δικτύου - καθυστέρηση, παραλλαγή λανθάνουσας κατάστασης (jitter) και απώλεια πακέτων (ποσοστό). Επιπλέον, το χρησιμοποιούμενο εύρος ζώνης μπορεί να μετρηθεί. Αυτές οι μετρήσεις πραγματοποιούνται όσο το δυνατόν πιο κοντά στον πραγματικό χρόνο και δικαιολογημένα, και το αποτέλεσμα αυτών των μετρήσεων επιτρέπει στο δρομολογητή που χρησιμοποιεί το PfR να λαμβάνει δυναμικά αποφάσεις σχετικά με την ανάγκη αλλαγής της δρομολόγησης αυτού ή εκείνου του τύπου κυκλοφορίας.

Έτσι, η εργασία του συνδυασμού DMVPN/PfR μπορεί να περιγραφεί εν συντομία ως εξής:

  • Επιτρέψτε στον πελάτη να χρησιμοποιεί οποιοδήποτε κανάλι επικοινωνίας στο δίκτυο WAN
  • Εξασφαλίστε την υψηλότερη δυνατή ποιότητα κρίσιμων εφαρμογών σε αυτά τα κανάλια

Τι είναι το Cisco SD-WAN;

Το Cisco SD-WAN είναι μια τεχνολογία που χρησιμοποιεί την προσέγγιση SDN για τη δημιουργία και τη λειτουργία του δικτύου WAN ενός οργανισμού. Αυτό σημαίνει συγκεκριμένα τη χρήση των λεγόμενων ελεγκτών (στοιχεία λογισμικού), που παρέχουν κεντρική ενορχήστρωση και αυτοματοποιημένη διαμόρφωση όλων των στοιχείων της λύσης. Σε αντίθεση με το κανονικό SDN (στυλ Clean Slate), το Cisco SD-WAN χρησιμοποιεί διάφορους τύπους ελεγκτών, καθένας από τους οποίους εκτελεί τον δικό του ρόλο - αυτό έγινε σκόπιμα προκειμένου να παρέχεται καλύτερη επεκτασιμότητα και γεωγραφικός πλεονασμός.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Στην περίπτωση του SD-WAN, το καθήκον χρήσης οποιουδήποτε τύπου καναλιών και διασφάλισης της λειτουργίας των επιχειρηματικών εφαρμογών παραμένει το ίδιο, αλλά ταυτόχρονα επεκτείνονται οι απαιτήσεις για αυτοματισμό, επεκτασιμότητα, ασφάλεια και ευελιξία ενός τέτοιου δικτύου.

Συζήτηση διαφορών

Εάν τώρα αρχίσουμε να αναλύουμε τις διαφορές μεταξύ αυτών των τεχνολογιών, θα εμπίπτουν σε μία από τις ακόλουθες κατηγορίες:

  • Αρχιτεκτονικές διαφορές - πώς κατανέμονται οι λειτουργίες σε διάφορα στοιχεία της λύσης, πώς οργανώνεται η αλληλεπίδραση τέτοιων στοιχείων και πώς αυτό επηρεάζει τις δυνατότητες και την ευελιξία της τεχνολογίας;
  • Λειτουργικότητα – τι μπορεί να κάνει μια τεχνολογία που δεν μπορεί να κάνει μια άλλη; Και είναι πραγματικά τόσο σημαντικό;

Ποιες είναι οι αρχιτεκτονικές διαφορές και είναι σημαντικές;

Κάθε μία από αυτές τις τεχνολογίες έχει πολλά «κινητά μέρη» που διαφέρουν όχι μόνο στους ρόλους τους, αλλά και στον τρόπο αλληλεπίδρασης μεταξύ τους. Το πόσο καλά έχουν μελετηθεί αυτές οι αρχές και η γενική μηχανική της λύσης καθορίζουν άμεσα την επεκτασιμότητα, την ανοχή σε σφάλματα και τη συνολική απόδοση.

Ας δούμε τις διάφορες πτυχές της αρχιτεκτονικής με περισσότερες λεπτομέρειες:

Επίπεδο δεδομένων – μέρος της λύσης που είναι υπεύθυνη για τη μετάδοση της κίνησης των χρηστών μεταξύ της πηγής και του παραλήπτη. Το DMVPN και το SD-WAN υλοποιούνται γενικά πανομοιότυπα στους ίδιους τους δρομολογητές με βάση τις σήραγγες Multipoint GRE. Η διαφορά είναι πώς σχηματίζεται το απαραίτητο σύνολο παραμέτρων για αυτές τις σήραγγες:

  • в DMVPN/PfR είναι μια αποκλειστικά δύο επιπέδων ιεραρχία κόμβων με τοπολογία Star ή Hub-n-Spoke. Απαιτείται στατική διαμόρφωση του Hub και στατική σύνδεση του Spoke στο Hub, καθώς και αλληλεπίδραση μέσω του πρωτοκόλλου NHRP για τη δημιουργία συνδεσιμότητας επιπέδου δεδομένων. Συνεπώς, καθιστώντας τις αλλαγές στο Hub σημαντικά πιο δύσκολεςσχετίζεται, για παράδειγμα, με την αλλαγή/σύνδεση νέων καναλιών WAN ή την αλλαγή των παραμέτρων των υπαρχόντων.
  • в SD WAN είναι ένα πλήρως δυναμικό μοντέλο για την ανίχνευση παραμέτρων εγκατεστημένων σηράγγων με βάση το επίπεδο ελέγχου (πρωτόκολλο OMP) και το επίπεδο ενορχήστρωσης (αλληλεπίδραση με τον ελεγκτή vBond για εργασίες ανίχνευσης ελεγκτή και διέλευσης NAT). Σε αυτήν την περίπτωση, μπορούν να χρησιμοποιηθούν οποιεσδήποτε υπερτιθέμενες τοπολογίες, συμπεριλαμβανομένων των ιεραρχικών. Μέσα στην καθιερωμένη τοπολογία επικάλυψης σήραγγας, είναι δυνατή η ευέλικτη διαμόρφωση της λογικής τοπολογίας σε κάθε μεμονωμένο VPN (VRF).

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Αεροπλάνο ελέγχου – λειτουργίες ανταλλαγής, φιλτραρίσματος και τροποποίησης της δρομολόγησης και άλλων πληροφοριών μεταξύ των στοιχείων λύσης.

  • в DMVPN/PfR – εκτελείται μόνο μεταξύ δρομολογητών Hub και Spoke. Δεν είναι δυνατή η άμεση ανταλλαγή πληροφοριών δρομολόγησης μεταξύ Spokes. Συνεπώς, Χωρίς ένα λειτουργικό Hub, το επίπεδο ελέγχου και το επίπεδο δεδομένων δεν μπορούν να λειτουργήσουν, το οποίο επιβάλλει πρόσθετες απαιτήσεις υψηλής διαθεσιμότητας στο Hub που δεν μπορούν πάντα να πληρούνται.
  • в SD WAN – το επίπεδο ελέγχου δεν πραγματοποιείται ποτέ απευθείας μεταξύ των δρομολογητών – η αλληλεπίδραση πραγματοποιείται με βάση το πρωτόκολλο OMP και πραγματοποιείται αναγκαστικά μέσω ενός ξεχωριστού εξειδικευμένου τύπου ελεγκτή vSmart, ο οποίος παρέχει τη δυνατότητα εξισορρόπησης, γεωγραφικής κράτησης και κεντρικού ελέγχου του φορτίο σήματος. Ένα άλλο χαρακτηριστικό του πρωτοκόλλου OMP είναι η σημαντική αντοχή του στις απώλειες και η ανεξαρτησία του από την ταχύτητα του καναλιού επικοινωνίας με τους ελεγκτές (εντός λογικών ορίων, φυσικά). Το οποίο σας επιτρέπει εξίσου επιτυχημένα να τοποθετείτε ελεγκτές SD-WAN σε δημόσια ή ιδιωτικά σύννεφα με πρόσβαση μέσω Διαδικτύου.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Πολιτική-επίπεδο – μέρος της λύσης που είναι υπεύθυνη για τον καθορισμό, τη διανομή και την εφαρμογή πολιτικών διαχείρισης της κυκλοφορίας σε ένα κατανεμημένο δίκτυο.

  • DMVPN – περιορίζεται ουσιαστικά από τις πολιτικές ποιότητας υπηρεσίας (QoS) που έχουν διαμορφωθεί ξεχωριστά σε κάθε δρομολογητή μέσω των προτύπων CLI ή Prime Infrastructure.
  • DMVPN/PfR – Οι πολιτικές PfR διαμορφώνονται στον κεντρικό δρομολογητή Master Controller (MC) μέσω του CLI και, στη συνέχεια, διανέμονται αυτόματα σε υποκαταστήματα MC. Σε αυτήν την περίπτωση, χρησιμοποιούνται οι ίδιες διαδρομές μεταφοράς πολιτικής όπως και για το επίπεδο δεδομένων. Δεν υπάρχει δυνατότητα διαχωρισμού της ανταλλαγής πολιτικών, πληροφοριών δρομολόγησης και δεδομένων χρήστη. Η διάδοση πολιτικής απαιτεί την παρουσία σύνδεσης IP μεταξύ του Hub και του Spoke. Σε αυτήν την περίπτωση, η λειτουργία MC μπορεί, εάν είναι απαραίτητο, να συνδυαστεί με έναν δρομολογητή DMVPN. Είναι δυνατή (αλλά δεν απαιτείται) η χρήση προτύπων Prime Infrastructure για συγκεντρωτική δημιουργία πολιτικών. Ένα σημαντικό χαρακτηριστικό είναι ότι η πολιτική διαμορφώνεται παγκοσμίως σε όλο το δίκτυο με τον ίδιο τρόπο - Δεν υποστηρίζονται μεμονωμένες πολιτικές για μεμονωμένα τμήματα.
  • SD WAN – Οι πολιτικές διαχείρισης κίνησης και ποιότητας υπηρεσιών καθορίζονται κεντρικά μέσω της γραφικής διεπαφής Cisco vManage, η οποία είναι προσβάσιμη και μέσω Διαδικτύου (εάν είναι απαραίτητο). Διανέμονται μέσω καναλιών σηματοδότησης άμεσα ή έμμεσα μέσω ελεγκτών vSmart (ανάλογα με τον τύπο της πολιτικής). Δεν εξαρτώνται από τη συνδεσιμότητα επιπέδου δεδομένων μεταξύ δρομολογητών, γιατί χρησιμοποιήστε όλες τις διαθέσιμες διαδρομές κυκλοφορίας μεταξύ του ελεγκτή και του δρομολογητή.

    Για διαφορετικά τμήματα δικτύου, είναι δυνατή η ευέλικτη διαμόρφωση διαφορετικών πολιτικών - το εύρος της πολιτικής καθορίζεται από πολλά μοναδικά αναγνωριστικά που παρέχονται στη λύση - αριθμός υποκαταστήματος, τύπος εφαρμογής, κατεύθυνση κυκλοφορίας κ.λπ.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Ενορχήστρωση-αεροπλάνο – μηχανισμοί που επιτρέπουν στα στοιχεία να ανιχνεύουν δυναμικά το ένα το άλλο, να διαμορφώνουν και να συντονίζουν τις επόμενες αλληλεπιδράσεις.

  • в DMVPN/PfR Η αμοιβαία ανακάλυψη μεταξύ των δρομολογητών βασίζεται στη στατική διαμόρφωση των συσκευών Hub και στην αντίστοιχη διαμόρφωση των συσκευών Spoke. Η δυναμική ανακάλυψη πραγματοποιείται μόνο για το Spoke, το οποίο αναφέρει τις παραμέτρους σύνδεσης Hub στη συσκευή, η οποία με τη σειρά της είναι προδιαμορφωμένη με το Spoke. Χωρίς συνδεσιμότητα IP μεταξύ Spoke και τουλάχιστον ενός Hub, είναι αδύνατο να σχηματιστεί είτε ένα επίπεδο δεδομένων είτε ένα επίπεδο ελέγχου.
  • в SD WAN Η ενορχήστρωση των στοιχείων λύσης πραγματοποιείται χρησιμοποιώντας τον ελεγκτή vBond, με τον οποίο κάθε στοιχείο (δρομολογητές και ελεγκτές vManage/vSmart) πρέπει πρώτα να δημιουργήσει συνδεσιμότητα IP.

    Αρχικά, τα στοιχεία δεν γνωρίζουν το ένα για τις παραμέτρους σύνδεσης του άλλου - γι 'αυτό χρειάζονται τον ενδιάμεσο ενορχηστρωτή vBond. Η γενική αρχή είναι η εξής - κάθε στοιχείο στην αρχική φάση μαθαίνει (αυτόματα ή στατικά) μόνο για τις παραμέτρους σύνδεσης στο vBond και, στη συνέχεια, το vBond ενημερώνει τον δρομολογητή για τους ελεγκτές vManage και vSmart (που ανακαλύφθηκαν νωρίτερα), γεγονός που καθιστά δυνατή την αυτόματη δημιουργία όλες τις απαραίτητες συνδέσεις σηματοδότησης.

    Το επόμενο βήμα είναι ο νέος δρομολογητής να μάθει για τους άλλους δρομολογητές στο δίκτυο μέσω επικοινωνίας OMP με τον ελεγκτή vSmart. Έτσι, ο δρομολογητής, χωρίς αρχικά να γνωρίζει τίποτα για τις παραμέτρους του δικτύου, είναι σε θέση να ανιχνεύει πλήρως αυτόματα και να συνδέεται με ελεγκτές και στη συνέχεια να ανιχνεύει αυτόματα και να δημιουργεί συνδεσιμότητα με άλλους δρομολογητές. Σε αυτήν την περίπτωση, οι παράμετροι σύνδεσης όλων των στοιχείων είναι αρχικά άγνωστες και ενδέχεται να αλλάξουν κατά τη λειτουργία.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Διαχείριση-αεροπλάνο – μέρος της λύσης που παρέχει κεντρική διαχείριση και παρακολούθηση.

  • DMVPN/PfR – δεν παρέχεται εξειδικευμένη λύση διαχείρισης. Για βασική αυτοματοποίηση και παρακολούθηση, μπορούν να χρησιμοποιηθούν προϊόντα όπως το Cisco Prime Infrastructure. Κάθε δρομολογητής έχει τη δυνατότητα να ελέγχεται μέσω της γραμμής εντολών CLI. Δεν παρέχεται ενοποίηση με εξωτερικά συστήματα μέσω API.
  • SD WAN – όλη η τακτική αλληλεπίδραση και παρακολούθηση πραγματοποιείται κεντρικά μέσω της γραφικής διεπαφής του ελεγκτή vManage. Όλες οι δυνατότητες της λύσης, χωρίς εξαίρεση, είναι διαθέσιμες για διαμόρφωση μέσω του vManage, καθώς και μέσω μιας πλήρως τεκμηριωμένης βιβλιοθήκης REST API.

    Όλες οι ρυθμίσεις δικτύου SD-WAN στο vManage καταλήγουν σε δύο κύριες δομές - τον σχηματισμό προτύπων συσκευών (Device Template) και τον σχηματισμό μιας πολιτικής που καθορίζει τη λογική της λειτουργίας του δικτύου και της επεξεργασίας της κυκλοφορίας. Ταυτόχρονα, το vManage, μεταδίδοντας την πολιτική που δημιουργείται από τον διαχειριστή, επιλέγει αυτόματα ποιες αλλαγές και σε ποιες μεμονωμένες συσκευές/ελεγκτές πρέπει να γίνουν, γεγονός που αυξάνει σημαντικά την αποτελεσματικότητα και την επεκτασιμότητα της λύσης.

    Μέσω της διεπαφής vManage, είναι διαθέσιμη όχι μόνο η διαμόρφωση της λύσης Cisco SD-WAN, αλλά και πλήρης παρακολούθηση της κατάστασης όλων των στοιχείων της λύσης, μέχρι την τρέχουσα κατάσταση μετρήσεων για μεμονωμένες σήραγγες και στατιστικά στοιχεία για τη χρήση διαφόρων εφαρμογών με βάση την ανάλυση DPI.

    Παρά τη συγκέντρωση της αλληλεπίδρασης, όλα τα στοιχεία (ελεγκτές και δρομολογητές) διαθέτουν επίσης μια πλήρως λειτουργική γραμμή εντολών CLI, η οποία είναι απαραίτητη στο στάδιο υλοποίησης ή σε περίπτωση έκτακτης ανάγκης για τοπικά διαγνωστικά. Σε κανονική λειτουργία (εάν υπάρχει κανάλι σηματοδότησης μεταξύ στοιχείων) στους δρομολογητές, η γραμμή εντολών είναι διαθέσιμη μόνο για διαγνωστικά και δεν είναι διαθέσιμη για την πραγματοποίηση τοπικών αλλαγών, γεγονός που εγγυάται τοπική ασφάλεια και η μόνη πηγή αλλαγών σε ένα τέτοιο δίκτυο είναι το vManage.

Ολοκληρωμένη ασφάλεια – εδώ θα πρέπει να μιλήσουμε όχι μόνο για την προστασία των δεδομένων χρήστη όταν μεταδίδονται μέσω ανοιχτών καναλιών, αλλά και για τη συνολική ασφάλεια του δικτύου WAN με βάση την επιλεγμένη τεχνολογία.

  • в DMVPN/PfR Είναι δυνατή η κρυπτογράφηση δεδομένων χρήστη και πρωτοκόλλων σηματοδότησης. Όταν χρησιμοποιείτε ορισμένα μοντέλα δρομολογητών, διατίθενται επιπλέον λειτουργίες τείχους προστασίας με επιθεώρηση κυκλοφορίας, IPS/IDS. Είναι δυνατή η τμηματοποίηση δικτύων υποκαταστημάτων χρησιμοποιώντας VRF. Είναι δυνατός ο έλεγχος ταυτότητας (one-factor) πρωτοκόλλων ελέγχου.

    Σε αυτήν την περίπτωση, ο απομακρυσμένος δρομολογητής θεωρείται ως αξιόπιστο στοιχείο του δικτύου από προεπιλογή – δηλ. περιπτώσεις φυσικής παραβίασης μεμονωμένων συσκευών και η πιθανότητα μη εξουσιοδοτημένης πρόσβασης σε αυτές δεν θεωρούνται ούτε λαμβάνονται υπόψη· δεν υπάρχει έλεγχος ταυτότητας δύο παραγόντων των στοιχείων λύσης, κάτι που στην περίπτωση ενός γεωγραφικά κατανεμημένου δικτύου μπορεί να εγκυμονεί σημαντικούς πρόσθετους κινδύνους.

  • в SD WAN κατ' αναλογία με το DMVPN, παρέχεται η δυνατότητα κρυπτογράφησης δεδομένων χρήστη, αλλά με σημαντικά διευρυμένη ασφάλεια δικτύου και λειτουργίες τμηματοποίησης L3/VRF (τείχος προστασίας, IPS/IDS, φιλτράρισμα URL, φιλτράρισμα DNS, AMP/TG, SASE, διακομιστής μεσολάβησης TLS/SSL, κ.λπ.) δ.). Ταυτόχρονα, η ανταλλαγή κλειδιών κρυπτογράφησης πραγματοποιείται πιο αποτελεσματικά μέσω των ελεγκτών vSmart (και όχι απευθείας), μέσω προκαθορισμένων καναλιών σηματοδότησης που προστατεύονται από κρυπτογράφηση DTLS/TLS βάσει πιστοποιητικών ασφαλείας. Αυτό με τη σειρά του εγγυάται την ασφάλεια τέτοιων ανταλλαγών και εξασφαλίζει καλύτερη επεκτασιμότητα της λύσης έως και δεκάδες χιλιάδες συσκευές στο ίδιο δίκτυο.

    Όλες οι συνδέσεις σηματοδότησης (ελεγκτής-ελεγκτής, ελεγκτής-δρομολογητής) προστατεύονται επίσης βάσει DTLS/TLS. Οι δρομολογητές είναι εξοπλισμένοι με πιστοποιητικά ασφαλείας κατά την παραγωγή με δυνατότητα αντικατάστασης/επέκτασης. Ο έλεγχος ταυτότητας δύο παραγόντων επιτυγχάνεται μέσω της υποχρεωτικής και ταυτόχρονης εκπλήρωσης δύο προϋποθέσεων για τη λειτουργία του δρομολογητή/ελεγκτή σε ένα δίκτυο SD-WAN:

    • Έγκυρο πιστοποιητικό ασφαλείας
    • Ρητή και συνειδητή συμπερίληψη από τον διαχειριστή κάθε στοιχείου στη «λευκή» λίστα των επιτρεπόμενων συσκευών.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Λειτουργικές διαφορές μεταξύ SD-WAN και DMVPN/PfR

Προχωρώντας στη συζήτηση των λειτουργικών διαφορών, πρέπει να σημειωθεί ότι πολλές από αυτές αποτελούν συνέχεια αρχιτεκτονικών - δεν είναι μυστικό ότι κατά τη διαμόρφωση της αρχιτεκτονικής μιας λύσης, οι προγραμματιστές ξεκινούν από τις δυνατότητες που θέλουν να αποκτήσουν στο τέλος. Ας δούμε τις πιο σημαντικές διαφορές μεταξύ των δύο τεχνολογιών.

AppQ (Ποιότητα Εφαρμογής) – λειτουργίες για τη διασφάλιση της ποιότητας μετάδοσης της κίνησης των επιχειρηματικών εφαρμογών

Οι βασικές λειτουργίες των υπό εξέταση τεχνολογιών στοχεύουν στη βελτίωση της εμπειρίας του χρήστη όσο το δυνατόν περισσότερο κατά τη χρήση εφαρμογών κρίσιμων για τις επιχειρήσεις σε ένα κατανεμημένο δίκτυο. Αυτό είναι ιδιαίτερα σημαντικό σε συνθήκες όπου μέρος της υποδομής δεν ελέγχεται από IT ή δεν εγγυάται καν την επιτυχή μεταφορά δεδομένων.

Το ίδιο το DMVPN δεν παρέχει τέτοιους μηχανισμούς. Το καλύτερο που μπορεί να γίνει σε ένα κλασικό δίκτυο DMVPN είναι η ταξινόμηση της εξερχόμενης κίνησης ανά εφαρμογή και η ιεράρχησή της όταν μεταδίδεται προς το κανάλι WAN. Η επιλογή μιας σήραγγας DMVPN καθορίζεται σε αυτή την περίπτωση μόνο από τη διαθεσιμότητά της και το αποτέλεσμα της λειτουργίας των πρωτοκόλλων δρομολόγησης. Ταυτόχρονα, η κατάσταση από άκρο σε άκρο του μονοπατιού/σήραγγα και η πιθανή μερική υποβάθμισή του δεν λαμβάνονται υπόψη όσον αφορά τις βασικές μετρήσεις που είναι σημαντικές για εφαρμογές δικτύου - καθυστέρηση, διακύμανση καθυστέρησης (jitter) και απώλειες (% ). Από αυτή την άποψη, η απευθείας σύγκριση του κλασικού DMVPN με το SD-WAN όσον αφορά την επίλυση προβλημάτων AppQ χάνει κάθε νόημα - το DMVPN δεν μπορεί να λύσει αυτό το πρόβλημα. Όταν προσθέτετε την τεχνολογία Cisco Performance Routing (PfR) σε αυτό το πλαίσιο, η κατάσταση αλλάζει και η σύγκριση με το Cisco SD-WAN γίνεται πιο ουσιαστική.

Πριν συζητήσουμε τις διαφορές, ακολουθεί μια γρήγορη ματιά στο πώς οι τεχνολογίες είναι παρόμοιες. Έτσι, και οι δύο τεχνολογίες:

  • έχετε έναν μηχανισμό που σας επιτρέπει να αξιολογείτε δυναμικά την κατάσταση κάθε εγκατεστημένης σήραγγας ως προς ορισμένες μετρήσεις - τουλάχιστον καθυστέρηση, μεταβολή καθυστέρησης και απώλεια πακέτων (%)
  • χρησιμοποιήστε ένα συγκεκριμένο σύνολο εργαλείων για τη διαμόρφωση, τη διανομή και την εφαρμογή κανόνων (πολιτικών) διαχείρισης της κυκλοφορίας, λαμβάνοντας υπόψη τα αποτελέσματα της μέτρησης της κατάστασης των βασικών μετρήσεων της σήραγγας.
  • ταξινόμηση της κυκλοφορίας εφαρμογών σε επίπεδα L3-L4 (DSCP) του μοντέλου OSI ή με υπογραφές εφαρμογής L7 με βάση μηχανισμούς DPI που είναι ενσωματωμένοι στο δρομολογητή
  • Για σημαντικές εφαρμογές, σας επιτρέπουν να προσδιορίσετε αποδεκτές τιμές κατωφλίου μετρήσεων, κανόνες για τη μετάδοση της κυκλοφορίας από προεπιλογή και κανόνες για την αναδρομολόγηση της κυκλοφορίας σε περίπτωση υπέρβασης των τιμών κατωφλίου.
  • Κατά την ενθυλάκωση της κυκλοφορίας στο GRE/IPSec, χρησιμοποιούν τον ήδη καθιερωμένο βιομηχανικό μηχανισμό για τη μεταφορά εσωτερικών σημάνσεων DSCP στην εξωτερική κεφαλίδα πακέτου GRE/IPSEC, που επιτρέπει το συγχρονισμό των πολιτικών QoS του οργανισμού και του τηλεπικοινωνιακού φορέα (εάν υπάρχει κατάλληλο SLA). .

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Πώς διαφέρουν οι μετρήσεις από άκρο σε άκρο SD-WAN και DMVPN/PfR;

DMVPN/PfR

  • Τόσο οι αισθητήρες ενεργού όσο και παθητικού λογισμικού (Probes) χρησιμοποιούνται για την αξιολόγηση των τυπικών μετρήσεων υγείας της σήραγγας. Οι ενεργές βασίζονται στην επισκεψιμότητα των χρηστών, οι παθητικές μιμούνται τέτοια κίνηση (σε περίπτωση απουσίας της).
  • Δεν υπάρχει ρύθμιση των χρονόμετρων και των συνθηκών ανίχνευσης υποβάθμισης - ο αλγόριθμος είναι σταθερός.
  • Επιπλέον, είναι διαθέσιμη η μέτρηση του χρησιμοποιούμενου εύρους ζώνης στην εξερχόμενη κατεύθυνση. Το οποίο προσθέτει πρόσθετη ευελιξία διαχείρισης κυκλοφορίας στο DMVPN/PfR.
  • Ταυτόχρονα, ορισμένοι μηχανισμοί PfR, όταν γίνεται υπέρβαση των μετρήσεων, βασίζονται σε σηματοδότηση ανάδρασης με τη μορφή ειδικών μηνυμάτων TCA (Threshold Crossing Alert) που πρέπει να προέρχονται από τον παραλήπτη της κυκλοφορίας προς την πηγή, η οποία με τη σειρά της υποθέτει ότι η κατάσταση της τα μετρούμενα κανάλια θα πρέπει να είναι τουλάχιστον επαρκή για τη μετάδοση τέτοιων μηνυμάτων TCA. Κάτι που στις περισσότερες περιπτώσεις δεν αποτελεί πρόβλημα, αλλά προφανώς δεν μπορεί να εγγυηθεί.

SD WAN

  • Για την αξιολόγηση από άκρο σε άκρο των τυπικών μετρήσεων κατάστασης σήραγγας, το πρωτόκολλο BFD χρησιμοποιείται σε λειτουργία ηχούς. Σε αυτήν την περίπτωση, δεν απαιτείται ειδική ανατροφοδότηση με τη μορφή TCA ή παρόμοιων μηνυμάτων - διατηρείται η απομόνωση των τομέων αποτυχίας. Επίσης, δεν απαιτεί την παρουσία της κίνησης των χρηστών για την αξιολόγηση της κατάστασης της σήραγγας.
  • Είναι δυνατό να ρυθμίσετε με ακρίβεια τους χρονοδιακόπτες BFD για να ρυθμίσετε την ταχύτητα απόκρισης και την ευαισθησία του αλγορίθμου στην υποβάθμιση του καναλιού επικοινωνίας από μερικά δευτερόλεπτα σε λεπτά.

    Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

  • Τη στιγμή της γραφής, υπάρχει μόνο μία συνεδρία BFD σε κάθε σήραγγα. Αυτό δυνητικά δημιουργεί λιγότερη ευαισθησία στην ανάλυση κατάστασης σήραγγας. Στην πραγματικότητα, αυτό μπορεί να γίνει περιορισμός μόνο εάν χρησιμοποιείτε μια σύνδεση WAN που βασίζεται σε MPLS L2/L3 VPN με συμφωνημένο QoS SLA - εάν η σήμανση DSCP της κυκλοφορίας BFD (μετά την ενθυλάκωση σε IPSec/GRE) ταιριάζει με την ουρά υψηλής προτεραιότητας στο του δικτύου του τηλεπικοινωνιακού φορέα, τότε αυτό μπορεί να επηρεάσει την ακρίβεια και την ταχύτητα ανίχνευσης υποβάθμισης για κίνηση χαμηλής προτεραιότητας. Ταυτόχρονα, είναι δυνατή η αλλαγή της προεπιλεγμένης ετικέτας BFD για τη μείωση του κινδύνου τέτοιων καταστάσεων. Σε μελλοντικές εκδόσεις του λογισμικού Cisco SD-WAN, αναμένονται πιο ακριβείς ρυθμίσεις BFD, καθώς και η δυνατότητα εκκίνησης πολλαπλών συνεδριών BFD εντός της ίδιας σήραγγας με μεμονωμένες τιμές DSCP (για διαφορετικές εφαρμογές).
  • Το BFD σάς επιτρέπει επιπλέον να υπολογίσετε το μέγιστο μέγεθος πακέτου που μπορεί να μεταδοθεί μέσω μιας συγκεκριμένης σήραγγας χωρίς κατακερματισμό. Αυτό επιτρέπει στο SD-WAN να προσαρμόζει δυναμικά παραμέτρους όπως το MTU και το TCP MSS Adjust για να αξιοποιήσει στο έπακρο το διαθέσιμο εύρος ζώνης σε κάθε σύνδεση.
  • Στο SD-WAN, είναι επίσης διαθέσιμη η επιλογή συγχρονισμού QoS από τηλεπικοινωνιακούς φορείς, όχι μόνο με βάση τα πεδία L3 DSCP, αλλά και με βάση τις τιμές L2 CoS, οι οποίες μπορούν να δημιουργηθούν αυτόματα στο δίκτυο υποκαταστημάτων από εξειδικευμένες συσκευές - για παράδειγμα, IP τηλέφωνα

Πώς διαφέρουν οι δυνατότητες, οι μέθοδοι καθορισμού και εφαρμογής πολιτικών AppQ;

Πολιτικές DMVPN/PfR:

  • Καθορίζεται στους δρομολογητές κεντρικού κλάδου μέσω της γραμμής εντολών CLI ή των προτύπων διαμόρφωσης CLI. Η δημιουργία προτύπων CLI απαιτεί προετοιμασία και γνώση της σύνταξης πολιτικής.

    Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

  • Καθορίζεται σε παγκόσμιο επίπεδο χωρίς δυνατότητα μεμονωμένης διαμόρφωσης/αλλαγής στις απαιτήσεις μεμονωμένων τμημάτων δικτύου.
  • Η διαδραστική δημιουργία πολιτικής δεν παρέχεται στη γραφική διεπαφή.
  • Η παρακολούθηση αλλαγών, η κληρονομικότητα και η δημιουργία πολλαπλών εκδόσεων πολιτικών για γρήγορη εναλλαγή δεν παρέχονται.
  • Διανέμεται αυτόματα σε δρομολογητές απομακρυσμένων υποκαταστημάτων. Σε αυτή την περίπτωση, χρησιμοποιούνται τα ίδια κανάλια επικοινωνίας όπως και για τη μετάδοση δεδομένων χρήστη. Εάν δεν υπάρχει κανάλι επικοινωνίας μεταξύ του κεντρικού και του απομακρυσμένου κλάδου, η διανομή/αλλαγή πολιτικών είναι αδύνατη.
  • Χρησιμοποιούνται σε κάθε δρομολογητή και, εάν είναι απαραίτητο, τροποποιούν το αποτέλεσμα των τυπικών πρωτοκόλλων δρομολόγησης, έχοντας μεγαλύτερη προτεραιότητα.
  • Για περιπτώσεις όπου όλες οι συνδέσεις WAN υποκαταστημάτων παρουσιάζουν σημαντική απώλεια κίνησης, δεν προβλέπονται μηχανισμοί αποζημίωσης.

Πολιτικές SD-WAN:

  • Καθορίζεται στο vManage GUI μέσω του διαδραστικού οδηγού προτύπου.
  • Υποστηρίζει τη δημιουργία πολλαπλών πολιτικών, αντιγραφή, κληρονομικότητα, εναλλαγή μεταξύ πολιτικών σε πραγματικό χρόνο.
  • Υποστηρίζει μεμονωμένες ρυθμίσεις πολιτικής για διαφορετικά τμήματα δικτύου (υποκαταστήματα)
  • Διανέμονται χρησιμοποιώντας οποιοδήποτε διαθέσιμο κανάλι σήματος μεταξύ του ελεγκτή και του δρομολογητή ή/και του vSmart - δεν εξαρτώνται άμεσα από τη συνδεσιμότητα επιπέδου δεδομένων μεταξύ των δρομολογητών. Αυτό, φυσικά, απαιτεί σύνδεση IP μεταξύ του ίδιου του δρομολογητή και των ελεγκτών.

    Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

  • Για περιπτώσεις όπου όλα τα διαθέσιμα υποκαταστήματα ενός υποκαταστήματος αντιμετωπίζουν σημαντικές απώλειες δεδομένων που υπερβαίνουν τα αποδεκτά όρια για κρίσιμες εφαρμογές, είναι δυνατό να χρησιμοποιηθούν πρόσθετοι μηχανισμοί που αυξάνουν την αξιοπιστία μετάδοσης:
    • FEC (Προώθηση Διόρθωση σφαλμάτων) – χρησιμοποιεί έναν ειδικό πλεονάζοντα αλγόριθμο κωδικοποίησης. Κατά τη μετάδοση κρίσιμης κίνησης μέσω καναλιών με σημαντικό ποσοστό απωλειών, το FEC μπορεί να ενεργοποιηθεί αυτόματα και επιτρέπει, εάν είναι απαραίτητο, την επαναφορά του χαμένου μέρους των δεδομένων. Αυτό αυξάνει ελαφρώς το χρησιμοποιούμενο εύρος ζώνης μετάδοσης, αλλά βελτιώνει σημαντικά την αξιοπιστία.

      Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

    • Αλληλεπικάλυψη ροών δεδομένων – Εκτός από το FEC, η πολιτική μπορεί να προβλέπει αυτόματη επανάληψη της κυκλοφορίας επιλεγμένων εφαρμογών σε περίπτωση ακόμη πιο σοβαρού επιπέδου απωλειών που δεν μπορεί να αντισταθμιστεί από την FEC. Σε αυτήν την περίπτωση, τα επιλεγμένα δεδομένα θα μεταδοθούν μέσω όλων των τούνελ προς τον κλάδο λήψης με επακόλουθο de-duplication (απόρριψη επιπλέον αντιγράφων πακέτων). Ο μηχανισμός αυξάνει σημαντικά τη χρήση του καναλιού, αλλά επίσης αυξάνει σημαντικά την αξιοπιστία της μετάδοσης.

Δυνατότητες Cisco SD-WAN, χωρίς άμεσα ανάλογα σε DMVPN/PfR

Η αρχιτεκτονική της λύσης Cisco SD-WAN σε ορισμένες περιπτώσεις σας επιτρέπει να αποκτήσετε δυνατότητες που είτε είναι εξαιρετικά δύσκολο να εφαρμοστούν στο DMVPN/PfR, είτε είναι πρακτικές λόγω του απαιτούμενου κόστους εργασίας ή είναι εντελώς αδύνατες. Ας δούμε τα πιο ενδιαφέροντα από αυτά:

Κυκλοφοριακών Μηχανικών (ΤΕ)

Το TE περιλαμβάνει μηχανισμούς που επιτρέπουν στην κυκλοφορία να διακλαδίζεται από την τυπική διαδρομή που σχηματίζεται από πρωτόκολλα δρομολόγησης. Το TE χρησιμοποιείται συχνά για τη διασφάλιση υψηλής διαθεσιμότητας υπηρεσιών δικτύου, μέσω της δυνατότητας γρήγορης και/ή προληπτικής μεταφοράς κρίσιμης κυκλοφορίας σε μια εναλλακτική (χωρίς) διαδρομή μετάδοσης, προκειμένου να διασφαλιστεί καλύτερη ποιότητα υπηρεσίας ή ταχύτητα ανάκτησης σε περίπτωση αποτυχίας στο κεντρικό μονοπάτι.

Η δυσκολία στην εφαρμογή της ΤΕ έγκειται στην ανάγκη υπολογισμού και δέσμευσης (ελέγχου) μιας εναλλακτικής διαδρομής εκ των προτέρων. Στα δίκτυα MPLS των τηλεπικοινωνιακών φορέων, αυτό το πρόβλημα επιλύεται χρησιμοποιώντας τεχνολογίες όπως το MPLS Traffic-Engineering με επεκτάσεις των πρωτοκόλλων IGP και του πρωτοκόλλου RSVP. Επίσης πρόσφατα, η τεχνολογία Segment Routing, η οποία είναι πιο βελτιστοποιημένη για κεντρική διαμόρφωση και ενορχήστρωση, έχει γίνει όλο και πιο δημοφιλής. Στα κλασικά δίκτυα WAN, αυτές οι τεχνολογίες συνήθως δεν αντιπροσωπεύονται ή περιορίζονται στη χρήση μηχανισμών hop-by-hop, όπως το Policy-Based Routing (PBR), οι οποίοι έχουν τη δυνατότητα διακλάδωσης της κυκλοφορίας, αλλά το εφαρμόζουν σε κάθε δρομολογητή ξεχωριστά - χωρίς λήψη λαμβάνοντας υπόψη τη συνολική κατάσταση του δικτύου ή το αποτέλεσμα PBR στα προηγούμενα ή τα επόμενα βήματα. Το αποτέλεσμα της χρήσης αυτών των επιλογών TE είναι απογοητευτικό - το MPLS TE, λόγω της πολυπλοκότητας της διαμόρφωσης και της λειτουργίας, χρησιμοποιείται, κατά κανόνα, μόνο στο πιο κρίσιμο τμήμα του δικτύου (πυρήνας) και το PBR χρησιμοποιείται σε μεμονωμένους δρομολογητές χωρίς τη δυνατότητα δημιουργίας μιας ενοποιημένης πολιτικής PBR για ολόκληρο το δίκτυο. Προφανώς, αυτό ισχύει και για δίκτυα που βασίζονται σε DMVPN.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Το SD-WAN από αυτή την άποψη προσφέρει μια πολύ πιο κομψή λύση που δεν είναι μόνο εύκολη στη διαμόρφωση, αλλά και κλιμακώνεται πολύ καλύτερα. Αυτό είναι αποτέλεσμα των αρχιτεκτονικών του επιπέδου ελέγχου και του επιπέδου πολιτικής που χρησιμοποιούνται. Η εφαρμογή ενός επιπέδου πολιτικής στο SD-WAN σάς επιτρέπει να ορίζετε κεντρικά την πολιτική TE - ποια κίνηση ενδιαφέρει; για ποια VPN; Μέσα από ποιους κόμβους/τούνελ είναι απαραίτητη ή, αντιθέτως, απαγορεύεται η διαμόρφωση εναλλακτικής διαδρομής; Με τη σειρά του, η συγκέντρωση της διαχείρισης επιπέδου ελέγχου που βασίζεται σε ελεγκτές vSmart σάς επιτρέπει να τροποποιείτε τα αποτελέσματα δρομολόγησης χωρίς να καταφεύγετε στις ρυθμίσεις μεμονωμένων συσκευών - οι δρομολογητές βλέπουν ήδη μόνο το αποτέλεσμα της λογικής που δημιουργήθηκε στη διεπαφή vManage και μεταφέρθηκε για χρήση σε vSmart.

Service-chaining

Ο σχηματισμός αλυσίδων υπηρεσιών είναι μια ακόμη πιο απαιτητική εργασία στην κλασική δρομολόγηση από τον ήδη περιγραφόμενο μηχανισμό Traffic-Engineering. Πράγματι, σε αυτήν την περίπτωση, είναι απαραίτητο όχι μόνο να δημιουργηθεί μια ειδική διαδρομή για μια συγκεκριμένη εφαρμογή δικτύου, αλλά και να εξασφαλιστεί η δυνατότητα αφαίρεσης της κυκλοφορίας από το δίκτυο σε ορισμένους (ή όλους) κόμβους του δικτύου SD-WAN για επεξεργασία από μια ειδική εφαρμογή ή υπηρεσία (Τείχος προστασίας, εξισορρόπηση, προσωρινή αποθήκευση, επιθεώρηση κυκλοφορίας κ.λπ.). Ταυτόχρονα, είναι απαραίτητο να μπορούμε να ελέγχουμε την κατάσταση αυτών των εξωτερικών υπηρεσιών για να αποτρέπουμε καταστάσεις μαύρης τρύπας και χρειάζονται επίσης μηχανισμοί που επιτρέπουν την τοποθέτηση τέτοιων εξωτερικών υπηρεσιών του ίδιου τύπου σε διαφορετικές γεωγραφικές τοποθεσίες με τη δυνατότητα του δικτύου να επιλέγει αυτόματα τον βέλτιστο κόμβο εξυπηρέτησης για την επεξεργασία της κίνησης ενός συγκεκριμένου κλάδου. Στην περίπτωση του Cisco SD-WAN, αυτό είναι πολύ εύκολο να επιτευχθεί με τη δημιουργία μιας κατάλληλης κεντρικής πολιτικής που «κολλάει» όλες τις πτυχές της αλυσίδας υπηρεσιών στόχου σε ένα ενιαίο σύνολο και αλλάζει αυτόματα τη λογική του επιπέδου δεδομένων και του επιπέδου ελέγχου μόνο όπου και όταν χρειάζεται.

Θα κόψει το Cisco SD-WAN τον κλάδο στον οποίο βρίσκεται το DMVPN;

Η δυνατότητα δημιουργίας γεω-κατανεμημένης επεξεργασίας της κυκλοφορίας επιλεγμένων τύπων εφαρμογών σε μια συγκεκριμένη σειρά σε εξειδικευμένο (αλλά όχι σχετικό με το ίδιο το δίκτυο SD-WAN) εξοπλισμό είναι ίσως η πιο ξεκάθαρη απόδειξη των πλεονεκτημάτων του Cisco SD-WAN έναντι του κλασικού τεχνολογίες και ακόμη και κάποιες εναλλακτικές λύσεις SD -WAN από άλλους κατασκευαστές.

Το αποτέλεσμα;

Προφανώς, τόσο το DMVPN (με ή χωρίς Performance Routing) όσο και το Cisco SD-WAN καταλήγουν να λύνουν παρόμοια προβλήματα σε σχέση με το κατανεμημένο δίκτυο WAN του οργανισμού. Ταυτόχρονα, σημαντικές αρχιτεκτονικές και λειτουργικές διαφορές στην τεχνολογία Cisco SD-WAN οδηγούν στη διαδικασία επίλυσης αυτών των προβλημάτων σε άλλο επίπεδο ποιότητας. Συνοψίζοντας, μπορούμε να σημειώσουμε τις ακόλουθες σημαντικές διαφορές μεταξύ των τεχνολογιών SD-WAN και DMVPN/PfR:

  • Τα DMVPN/PfR γενικά χρησιμοποιούν τεχνολογίες δοκιμασμένες στο χρόνο για τη δημιουργία δικτύων VPN επικάλυψης και, όσον αφορά το επίπεδο δεδομένων, είναι παρόμοια με πιο σύγχρονη τεχνολογία SD-WAN, ωστόσο, υπάρχουν ορισμένοι περιορισμοί με τη μορφή υποχρεωτικής στατικής διαμόρφωσης των δρομολογητών και η επιλογή των τοπολογιών περιορίζεται στο Hub-n-Spoke. Από την άλλη πλευρά, το DMVPN/PfR έχει κάποια λειτουργικότητα που δεν είναι ακόμη διαθέσιμη στο SD-WAN (μιλάμε για BFD ανά εφαρμογή).
  • Εντός του επιπέδου ελέγχου, οι τεχνολογίες διαφέρουν θεμελιωδώς. Λαμβάνοντας υπόψη την κεντρική επεξεργασία των πρωτοκόλλων σηματοδότησης, το SD-WAN επιτρέπει, ειδικότερα, να περιορίσει σημαντικά τους τομείς αποτυχίας και να «αποσυνδέσει» τη διαδικασία μετάδοσης της κυκλοφορίας των χρηστών από την αλληλεπίδραση σηματοδότησης - η προσωρινή μη διαθεσιμότητα των ελεγκτών δεν επηρεάζει την ικανότητα μετάδοσης της κυκλοφορίας των χρηστών . Ταυτόχρονα, η προσωρινή μη διαθεσιμότητα οποιουδήποτε κλάδου (συμπεριλαμβανομένου του κεντρικού) δεν επηρεάζει σε καμία περίπτωση την ικανότητα άλλων υποκαταστημάτων να αλληλεπιδρούν μεταξύ τους και με τους ελεγκτές.
  • Η αρχιτεκτονική για το σχηματισμό και την εφαρμογή πολιτικών διαχείρισης κυκλοφορίας στην περίπτωση του SD-WAN είναι επίσης ανώτερη από αυτή στο DMVPN/PfR - η γεωγραφική κράτηση εφαρμόζεται πολύ καλύτερα, δεν υπάρχει σύνδεση με το Hub, υπάρχουν περισσότερες ευκαιρίες για πρόστιμο -τις πολιτικές συντονισμού, η λίστα των εφαρμοζόμενων σεναρίων διαχείρισης της κυκλοφορίας είναι επίσης πολύ μεγαλύτερη.
  • Η διαδικασία ενορχήστρωσης της λύσης είναι επίσης σημαντικά διαφορετική. Το DMVPN υποθέτει την παρουσία προηγουμένως γνωστών παραμέτρων που πρέπει να αντικατοπτρίζονται με κάποιο τρόπο στη διαμόρφωση, γεγονός που περιορίζει κάπως την ευελιξία της λύσης και τη δυνατότητα δυναμικών αλλαγών. Με τη σειρά του, το SD-WAN βασίζεται στο παράδειγμα ότι στην αρχική στιγμή της σύνδεσης, ο δρομολογητής "δεν γνωρίζει τίποτα" για τους ελεγκτές του, αλλά ξέρει "ποιον μπορείτε να ρωτήσετε" - αυτό αρκεί όχι μόνο για την αυτόματη δημιουργία επικοινωνίας με τους ελεγκτές, αλλά και τον αυτόματο σχηματισμό μιας πλήρως συνδεδεμένης τοπολογίας επιπέδου δεδομένων, η οποία στη συνέχεια μπορεί να διαμορφωθεί/αλλάξει ευέλικτα χρησιμοποιώντας πολιτικές.
  • Όσον αφορά την κεντρική διαχείριση, τον αυτοματισμό και την παρακολούθηση, το SD-WAN αναμένεται να ξεπεράσει τις δυνατότητες του DMVPN/PfR, που έχουν εξελιχθεί από τις κλασσικές τεχνολογίες και βασίζονται περισσότερο στη γραμμή εντολών CLI και στη χρήση συστημάτων NMS που βασίζονται σε πρότυπα.
  • Στο SD-WAN, σε σύγκριση με το DMVPN, οι απαιτήσεις ασφαλείας έχουν φτάσει σε διαφορετικό ποιοτικό επίπεδο. Οι κύριες αρχές είναι η μηδενική εμπιστοσύνη, η επεκτασιμότητα και ο έλεγχος ταυτότητας δύο παραγόντων.

Αυτά τα απλά συμπεράσματα μπορεί να δώσουν τη λανθασμένη εντύπωση ότι η δημιουργία ενός δικτύου που βασίζεται σε DMVPN/PfR έχει χάσει κάθε συνάφεια σήμερα. Αυτό φυσικά δεν είναι απολύτως αληθές. Για παράδειγμα, σε περιπτώσεις όπου το δίκτυο χρησιμοποιεί πολύ παλιό εξοπλισμό και δεν υπάρχει τρόπος αντικατάστασής του, το DMVPN μπορεί να σας επιτρέψει να συνδυάσετε «παλιές» και «νέες» συσκευές σε ένα ενιαίο γεω-κατανεμημένο δίκτυο με πολλά από τα πλεονεκτήματα που περιγράφονται πάνω από.

Από την άλλη πλευρά, πρέπει να θυμόμαστε ότι όλοι οι τρέχοντες εταιρικοί δρομολογητές της Cisco που βασίζονται στο IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) υποστηρίζουν σήμερα οποιονδήποτε τρόπο λειτουργίας - τόσο κλασική δρομολόγηση όσο και DMVPN και SD-WAN - η επιλογή καθορίζεται από τις τρέχουσες ανάγκες και την κατανόηση ότι ανά πάσα στιγμή, χρησιμοποιώντας τον ίδιο εξοπλισμό, μπορείτε να αρχίσετε να προχωράτε προς πιο προηγμένη τεχνολογία.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο