ProHoster > Blog > administración > ¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Desde agosto de 2017, cuando Cisco adquirió Viptela, la principal tecnología ofrecida para organizar redes empresariales distribuidas ha sido Cisco SD-WAN. Durante los últimos 3 años, la tecnología SD-WAN ha pasado por muchos cambios, tanto cualitativos como cuantitativos. Así, la funcionalidad se ha ampliado significativamente y ha aparecido soporte en los enrutadores clásicos de la serie. Cisco ISR 1000, ISR 4000, ASR 1000 y CSR virtual 1000v. Al mismo tiempo, muchos clientes y socios de Cisco siguen preguntándose: ¿Cuáles son las diferencias entre Cisco SD-WAN y los enfoques ya familiares basados ​​en tecnologías como Cisco DMVPN и Enrutamiento de rendimiento de Cisco ¿Y qué importancia tienen estas diferencias?

Aquí debemos hacer una reserva de inmediato: antes de la aparición de SD-WAN en la cartera de Cisco, DMVPN junto con PfR formaban una parte clave en la arquitectura. Cisco IWAN (WAN inteligente), que a su vez fue el predecesor de la tecnología SD-WAN en toda regla. A pesar de la similitud general tanto de las tareas resueltas como de los métodos para resolverlas, IWAN nunca recibió el nivel de automatización, flexibilidad y escalabilidad necesarios para SD-WAN y, con el tiempo, el desarrollo de IWAN ha disminuido significativamente. Al mismo tiempo, las tecnologías que componen IWAN no han desaparecido y muchos clientes continúan utilizándolas con éxito, incluso en equipos modernos. Como resultado, surgió una situación interesante: el mismo equipo Cisco le permite elegir la tecnología WAN más adecuada (clásica, DMVPN+PfR o SD-WAN) de acuerdo con los requisitos y expectativas de los clientes.

El artículo no pretende analizar en detalle todas las características de las tecnologías Cisco SD-WAN y DMVPN (con o sin Performance Routing); hay una gran cantidad de documentos y materiales disponibles para esto. La tarea principal es intentar evaluar las diferencias clave entre estas tecnologías. Pero antes de pasar a discutir estas diferencias, recordemos brevemente las tecnologías mismas.

¿Qué es Cisco DMVPN y por qué es necesario?

Cisco DMVPN resuelve el problema de la conexión dinámica (= escalable) de una red de sucursal remota a la red de la oficina central de una empresa cuando se utilizan tipos arbitrarios de canales de comunicación, incluido Internet (= con cifrado del canal de comunicación). Técnicamente, esto se logra creando una red superpuesta virtualizada de clase VPN L3 en modo punto a multipunto con una topología lógica del tipo "Estrella" (Hub-n-Spoke). Para lograr esto, DMVPN utiliza una combinación de las siguientes tecnologías:

  • Enrutamiento IP
  • Túneles GRE multipunto (mGRE)
  • Protocolo de resolución de siguiente salto (NHRP)
  • Perfiles criptográficos IPSec

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

¿Cuáles son las principales ventajas de Cisco DMVPN frente al enrutamiento clásico mediante canales VPN MPLS?

  • Para crear una red entre sucursales, es posible utilizar cualquier canal de comunicación: cualquier cosa que pueda proporcionar conectividad IP entre sucursales es adecuada, mientras que el tráfico estará cifrado (cuando sea necesario) y equilibrado (cuando sea posible).
  • Se forma automáticamente una topología completamente conectada entre ramas. En este caso, existen túneles estáticos entre las sucursales central y remota, y túneles dinámicos bajo demanda entre las sucursales remotas (si hay tráfico)
  • Los routers de la sucursal central y remota tienen la misma configuración hasta las direcciones IP de las interfaces. Al utilizar mGRE, no es necesario configurar individualmente decenas, cientos o incluso miles de túneles. Como resultado, una escalabilidad decente con el diseño adecuado.

¿Qué es Cisco Performance Routing y por qué es necesario?

Cuando se utiliza DMVPN en una red interprofesional, queda sin resolver una pregunta extremadamente importante: cómo evaluar dinámicamente el estado de cada uno de los túneles DMVPN para determinar el cumplimiento de los requisitos de tráfico críticos para nuestra organización y, nuevamente, en base a dicha evaluación, hacer dinámicamente una decisión sobre el cambio de ruta? El hecho es que DMVPN en esta parte difiere poco del enrutamiento clásico: lo mejor que se puede hacer es configurar mecanismos de QoS que le permitirán priorizar el tráfico en la dirección saliente, pero que de ninguna manera son capaces de tener en cuenta el estado de todo el camino en un momento u otro.

¿Y qué hacer si el canal se degrada parcialmente y no por completo? ¿Cómo detectarlo y evaluarlo? DMVPN por sí solo no puede hacer esto. Teniendo en cuenta que los canales que conectan las sucursales pueden pasar a través de operadores de telecomunicaciones completamente diferentes, utilizando tecnologías completamente diferentes, esta tarea se vuelve extremadamente trivial. Y aquí es donde viene al rescate la tecnología Cisco Performance Routing, que en ese momento ya había pasado por varias etapas de desarrollo.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

La tarea de Cisco Performance Routing (en adelante PfR) se reduce a medir el estado de las rutas (túneles) de tráfico en función de métricas clave importantes para las aplicaciones de red: Latencia, variación de latencia (jitter) y pérdida de paquetes (porcentaje). Además, se puede medir el ancho de banda utilizado. Estas mediciones ocurren lo más cerca posible y justificadamente del tiempo real, y el resultado de estas mediciones permite al enrutador que utiliza PfR tomar decisiones dinámicas sobre la necesidad de cambiar el enrutamiento de tal o cual tipo de tráfico.

Así, la tarea de la combinación DMVPN/PfR se puede describir brevemente de la siguiente manera:

  • Permitir al cliente utilizar cualquier canal de comunicación en la red WAN
  • Garantizar la mayor calidad posible de las aplicaciones críticas en estos canales

¿Qué es Cisco SD-WAN?

Cisco SD-WAN es una tecnología que utiliza el enfoque SDN para crear y operar la red WAN de una organización. Esto significa en particular el uso de los llamados controladores (elementos de software), que proporcionan una orquestación centralizada y una configuración automatizada de todos los componentes de la solución. A diferencia del SDN canónico (estilo Clean Slate), Cisco SD-WAN utiliza varios tipos de controladores, cada uno de los cuales desempeña su propia función; esto se hizo intencionalmente para proporcionar una mejor escalabilidad y redundancia geográfica.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

En el caso de SD-WAN, la tarea de utilizar cualquier tipo de canal y garantizar el funcionamiento de las aplicaciones empresariales sigue siendo la misma, pero al mismo tiempo se amplían los requisitos de automatización, escalabilidad, seguridad y flexibilidad de dicha red.

Discusión de diferencias

Si ahora comenzamos a analizar las diferencias entre estas tecnologías, se clasificarán en una de las siguientes categorías:

  • Diferencias arquitectónicas: ¿cómo se distribuyen las funciones entre los distintos componentes de la solución, cómo se organiza la interacción de dichos componentes y cómo afecta esto a las capacidades y flexibilidad de la tecnología?
  • Funcionalidad: ¿qué puede hacer una tecnología que otra no pueda hacer? ¿Y es realmente tan importante?

¿Cuáles son las diferencias arquitectónicas y son importantes?

Cada una de estas tecnologías tiene muchas “partes móviles” que difieren no sólo en sus funciones, sino también en la forma en que interactúan entre sí. Qué tan bien estén pensados ​​estos principios y la mecánica general de la solución determinan directamente su escalabilidad, tolerancia a fallas y eficiencia general.

Veamos los distintos aspectos de la arquitectura con más detalle:

Plano de datos – parte de la solución responsable de transmitir el tráfico de usuarios entre el origen y el destinatario. DMVPN y SD-WAN se implementan generalmente de manera idéntica en los propios enrutadores basados ​​en túneles GRE multipunto. La diferencia es cómo se forma el conjunto de parámetros necesario para estos túneles:

  • в DMVPN/PfR es una jerarquía de nodos exclusivamente de dos niveles con topología de estrella o Hub-n-Spoke. Se requiere la configuración estática del Hub y la vinculación estática de Spoke al Hub, así como la interacción a través del protocolo NHRP para formar conectividad en el plano de datos. Como consecuencia, hacer que los cambios en el Hub sean significativamente más difícilesrelacionado, por ejemplo, con el cambio/conexión de nuevos canales WAN o el cambio de parámetros de los existentes.
  • в SD-WAN es un modelo completamente dinámico para detectar parámetros de túneles instalados basado en el plano de control (protocolo OMP) y el plano de orquestación (interacción con el controlador vBond para la detección del controlador y tareas transversales de NAT). En este caso, se puede utilizar cualquier topología superpuesta, incluidas las jerárquicas. Dentro de la topología de túnel superpuesta establecida, es posible una configuración flexible de la topología lógica en cada VPN (VRF) individual.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Plano de control – funciones de intercambio, filtrado y modificación de enrutamiento y otra información entre componentes de la solución.

  • в DMVPN/PfR – realizado únicamente entre enrutadores Hub y Spoke. No es posible el intercambio directo de información de enrutamiento entre Spokes. Como consecuencia, Sin un Hub en funcionamiento, el plano de control y el plano de datos no pueden funcionar, lo que impone requisitos adicionales de alta disponibilidad en el Hub que no siempre se pueden cumplir.
  • в SD-WAN – el plano de control nunca se lleva a cabo directamente entre enrutadores – la interacción se produce sobre la base del protocolo OMP y necesariamente se lleva a cabo a través de un tipo especializado separado de controlador vSmart, que brinda la posibilidad de equilibrio, georeserva y control centralizado del carga de señal. Otra característica del protocolo OMP es su importante resistencia a las pérdidas y su independencia de la velocidad del canal de comunicación con los controladores (dentro de límites razonables, por supuesto). Lo que permite con igual éxito colocar controladores SD-WAN en nubes públicas o privadas con acceso a través de Internet.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Plano de políticas – parte de la solución responsable de definir, distribuir y aplicar políticas de gestión del tráfico en una red distribuida.

  • DMVPN – está efectivamente limitado por las políticas de calidad de servicio (QoS) configuradas individualmente en cada enrutador a través de la CLI o las plantillas de Prime Infrastructure.
  • DMVPN/PfR – Las políticas de PfR se forman en el enrutador del controlador maestro (MC) centralizado a través de la CLI y luego se distribuyen automáticamente a los MC de las sucursales. En este caso, se utilizan las mismas rutas de transferencia de políticas que para el plano de datos. No existe la posibilidad de separar el intercambio de políticas, información de enrutamiento y datos de usuario. La propagación de políticas requiere la presencia de conectividad IP entre Hub y Spoke. En este caso, la función MC se puede combinar, si es necesario, con un enrutador DMVPN. Es posible (pero no obligatorio) utilizar plantillas de Prime Infrastructure para la generación de políticas centralizadas. Una característica importante es que la política se forma globalmente en toda la red de la misma manera: No se admiten políticas individuales para segmentos individuales.
  • SD-WAN – La gestión del tráfico y las políticas de calidad del servicio se determinan de forma centralizada a través de la interfaz gráfica Cisco vManage, accesible también a través de Internet (si es necesario). Se distribuyen a través de canales de señalización directa o indirectamente a través de controladores vSmart (según el tipo de política). No dependen de la conectividad del plano de datos entre enrutadores, porque Utilice todas las rutas de tráfico disponibles entre el controlador y el enrutador.

    Para diferentes segmentos de red, es posible formular de manera flexible diferentes políticas; el alcance de la política está determinado por muchos identificadores únicos proporcionados en la solución: número de sucursal, tipo de aplicación, dirección del tráfico, etc.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Plano de orquestación – mecanismos que permiten que los componentes se detecten dinámicamente entre sí, configuren y coordinen interacciones posteriores.

  • в DMVPN/PfR El descubrimiento mutuo entre enrutadores se basa en la configuración estática de los dispositivos Hub y la configuración correspondiente de los dispositivos Spoke. El descubrimiento dinámico ocurre solo para Spoke, que informa los parámetros de conexión de su Hub al dispositivo, que a su vez está preconfigurado con Spoke. Sin conectividad IP entre Spoke y al menos un Hub, es imposible formar un plano de datos o un plano de control.
  • в SD-WAN La orquestación de los componentes de la solución se produce mediante el controlador vBond, con el cual cada componente (enrutadores y controladores vManage/vSmart) primero debe establecer conectividad IP.

    Inicialmente, los componentes no conocen los parámetros de conexión de cada uno; para ello necesitan el orquestador intermediario vBond. El principio general es el siguiente: cada componente en la fase inicial aprende (automática o estáticamente) solo acerca de los parámetros de conexión a vBond, luego vBond informa al enrutador sobre los controladores vManage y vSmart (descubiertos anteriormente), lo que hace posible establecer automáticamente todas las conexiones de señalización necesarias.

    El siguiente paso es que el nuevo enrutador conozca los otros enrutadores de la red a través de la comunicación OMP con el controlador vSmart. Por lo tanto, el enrutador, sin saber inicialmente nada sobre los parámetros de la red, es capaz de detectar y conectarse de forma totalmente automática a los controladores y luego también detectar automáticamente y establecer conectividad con otros enrutadores. En este caso, los parámetros de conexión de todos los componentes se desconocen inicialmente y pueden cambiar durante el funcionamiento.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Plano de gestión – parte de la solución que proporciona gestión y seguimiento centralizados.

  • DMVPN/PfR – no se proporciona ninguna solución de plano de gestión especializada. Para la automatización y el monitoreo básicos, se pueden utilizar productos como Cisco Prime Infrastructure. Cada enrutador tiene la capacidad de controlarse a través de la línea de comando CLI. No se proporciona integración con sistemas externos a través de API.
  • SD-WAN – toda la interacción y el seguimiento habituales se llevan a cabo de forma centralizada a través de la interfaz gráfica del controlador vManage. Todas las funciones de la solución, sin excepción, están disponibles para su configuración a través de vManage, así como a través de una biblioteca API REST completamente documentada.

    Todas las configuraciones de red SD-WAN en vManage se reducen a dos construcciones principales: la formación de plantillas de dispositivos (Plantilla de dispositivo) y la formación de una política que determina la lógica de operación de la red y el procesamiento del tráfico. Al mismo tiempo, vManage, al transmitir la política generada por el administrador, selecciona automáticamente qué cambios y en qué dispositivos/controladores individuales se deben realizar, lo que aumenta significativamente la eficiencia y escalabilidad de la solución.

    A través de la interfaz vManage, no solo está disponible la configuración de la solución Cisco SD-WAN, sino también el monitoreo completo del estado de todos los componentes de la solución, hasta el estado actual de las métricas para túneles individuales y estadísticas sobre el uso de varias aplicaciones. basado en el análisis DPI.

    A pesar de la centralización de la interacción, todos los componentes (controladores y enrutadores) también tienen una línea de comando CLI completamente funcional, que es necesaria en la etapa de implementación o en caso de emergencia para el diagnóstico local. En modo normal (si hay un canal de señalización entre componentes) en los enrutadores, la línea de comando está disponible solo para diagnóstico y no para realizar cambios locales, lo que garantiza la seguridad local y la única fuente de cambios en dicha red es vManage.

Seguridad integrada – aquí deberíamos hablar no sólo de la protección de los datos del usuario cuando se transmiten a través de canales abiertos, sino también de la seguridad general de la red WAN basada en la tecnología seleccionada.

  • в DMVPN/PfR Es posible cifrar datos de usuario y protocolos de señalización. Al utilizar determinados modelos de enrutador, están disponibles adicionalmente funciones de firewall con inspección de tráfico, IPS/IDS. Es posible segmentar redes de sucursales utilizando VRF. Es posible autenticar protocolos de control (de un factor).

    En este caso, el enrutador remoto se considera un elemento confiable de la red de forma predeterminada, es decir. los casos de compromiso físico de dispositivos individuales y la posibilidad de acceso no autorizado a ellos no se asumen ni se tienen en cuenta; no existe una autenticación de dos factores de los componentes de la solución, que en el caso de una red distribuida geográficamente puede conllevar importantes riesgos adicionales.

  • в SD-WAN por analogía con DMVPN, se proporciona la capacidad de cifrar los datos del usuario, pero con una seguridad de red significativamente ampliada y funciones de segmentación L3/VRF (firewall, IPS/IDS, filtrado de URL, filtrado de DNS, AMP/TG, SASE, proxy TLS/SSL, etc.) d.). Al mismo tiempo, el intercambio de claves de cifrado se realiza de forma más eficiente a través de controladores vSmart (en lugar de directamente), a través de canales de señalización preestablecidos y protegidos por cifrado DTLS/TLS basado en certificados de seguridad. Lo que a su vez garantiza la seguridad de dichos intercambios y garantiza una mejor escalabilidad de la solución hasta decenas de miles de dispositivos en la misma red.

    Todas las conexiones de señalización (controlador a controlador, controlador-enrutador) también están protegidas según DTLS/TLS. Los enrutadores están equipados con certificados de seguridad durante la producción con posibilidad de reemplazo/ampliación. La autenticación de dos factores se logra mediante el cumplimiento obligatorio y simultáneo de dos condiciones para que el enrutador/controlador funcione en una red SD-WAN:

    • Certificado de seguridad válido
    • Inclusión explícita y consciente por parte del administrador de cada componente en la lista “blanca” de dispositivos permitidos.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Diferencias funcionales entre SD-WAN y DMVPN/PfR

Pasando a discutir las diferencias funcionales, cabe señalar que muchas de ellas son una continuación de las arquitectónicas; no es ningún secreto que al formar la arquitectura de una solución, los desarrolladores parten de las capacidades que finalmente quieren obtener. Veamos las diferencias más significativas entre las dos tecnologías.

AppQ (Calidad de la aplicación): funciones para garantizar la calidad de la transmisión del tráfico de aplicaciones comerciales

Las funciones clave de las tecnologías consideradas tienen como objetivo mejorar la experiencia del usuario tanto como sea posible cuando se utilizan aplicaciones críticas para el negocio en una red distribuida. Esto es especialmente importante en condiciones en las que parte de la infraestructura no está controlada por TI o ni siquiera garantiza una transferencia de datos exitosa.

DMVPN no proporciona dichos mecanismos por sí solo. Lo mejor que se puede hacer en una red DMVPN clásica es clasificar el tráfico saliente por aplicación y priorizarlo cuando se transmite hacia el canal WAN. La elección de un túnel DMVPN está determinada en este caso únicamente por su disponibilidad y el resultado del funcionamiento de los protocolos de enrutamiento. Al mismo tiempo, el estado de extremo a extremo de la ruta/túnel y su posible degradación parcial no se tienen en cuenta en términos de métricas clave que son importantes para las aplicaciones de red: retraso, variación del retraso (jitter) y pérdidas (% ). En este sentido, comparar directamente el DMVPN clásico con SD-WAN en términos de resolución de problemas de AppQ pierde todo sentido: DMVPN no puede resolver este problema. Cuando se agrega la tecnología Cisco Performance Routing (PfR) a este contexto, la situación cambia y la comparación con Cisco SD-WAN se vuelve más significativa.

Antes de discutir las diferencias, aquí hay un vistazo rápido a en qué se parecen las tecnologías. Entonces, ambas tecnologías:

  • tener un mecanismo que le permita evaluar dinámicamente el estado de cada túnel establecido en términos de ciertas métricas: como mínimo, retraso, variación de retraso y pérdida de paquetes (%)
  • utilizar un conjunto específico de herramientas para formar, distribuir y aplicar reglas (políticas) de gestión del tráfico, teniendo en cuenta los resultados de medir el estado de las métricas clave del túnel.
  • clasificar el tráfico de aplicaciones en los niveles L3-L4 (DSCP) del modelo OSI o mediante firmas de aplicaciones L7 basadas en mecanismos DPI integrados en el enrutador
  • Para aplicaciones importantes, le permiten determinar valores umbral aceptables de métricas, reglas para transmitir tráfico de forma predeterminada y reglas para redireccionar el tráfico cuando se exceden los valores umbral.
  • Al encapsular el tráfico en GRE/IPSec, utilizan el mecanismo industrial ya establecido para transferir marcas DSCP internas al encabezado del paquete GRE/IPSEC externo, lo que permite sincronizar las políticas de QoS de la organización y el operador de telecomunicaciones (si existe un SLA apropiado). .

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

¿En qué se diferencian las métricas de extremo a extremo de SD-WAN y DMVPN/PfR?

DMVPN/PfR

  • Se utilizan sensores de software (sondas) tanto activos como pasivos para evaluar las métricas de estado del túnel estándar. Los activos se basan en el tráfico de usuarios, los pasivos emulan dicho tráfico (en su ausencia).
  • No hay ajuste fino de los temporizadores ni de las condiciones de detección de degradación: el algoritmo es fijo.
  • Además, está disponible la medición del ancho de banda utilizado en la dirección de salida. Lo que agrega flexibilidad adicional de gestión del tráfico a DMVPN/PfR.
  • Al mismo tiempo, algunos mecanismos PfR, cuando se exceden las métricas, se basan en señales de retroalimentación en forma de mensajes especiales TCA (Threshold Crossing Alert) que deben provenir del destinatario del tráfico hacia la fuente, lo que a su vez supone que el estado del Los canales medidos deben ser al menos suficientes para la transmisión de dichos mensajes TCA. Lo cual en la mayoría de los casos no supone un problema, pero evidentemente no se puede garantizar.

SD-WAN

  • Para la evaluación de un extremo a otro de las métricas de estado del túnel estándar, se utiliza el protocolo BFD en modo eco. En este caso, no se requiere retroalimentación especial en forma de TCA o mensajes similares: se mantiene el aislamiento de los dominios de falla. Tampoco requiere la presencia de tráfico de usuarios para evaluar el estado del túnel.
  • Es posible ajustar los temporizadores BFD para regular la velocidad de respuesta y la sensibilidad del algoritmo a la degradación del canal de comunicación de varios segundos a minutos.

    ¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

  • Al momento de escribir este artículo, solo hay una sesión BFD en cada túnel. Esto potencialmente crea menos granularidad en el análisis del estado del túnel. En realidad, esto sólo puede convertirse en una limitación si utiliza una conexión WAN basada en MPLS L2/L3 VPN con un QoS SLA acordado, si la marca DSCP del tráfico BFD (después de la encapsulación en IPSec/GRE) coincide con la cola de alta prioridad en la red del operador de telecomunicaciones, esto puede afectar la precisión y la velocidad de detección de degradación para el tráfico de baja prioridad. Al mismo tiempo, es posible cambiar el etiquetado BFD predeterminado para reducir el riesgo de tales situaciones. En versiones futuras del software Cisco SD-WAN, se esperan configuraciones de BFD más ajustadas, así como la capacidad de iniciar múltiples sesiones de BFD dentro del mismo túnel con valores DSCP individuales (para diferentes aplicaciones).
  • BFD además le permite estimar el tamaño máximo de paquete que se puede transmitir a través de un túnel particular sin fragmentación. Esto permite que SD-WAN ajuste dinámicamente parámetros como MTU y TCP MSS Ajustar para aprovechar al máximo el ancho de banda disponible en cada enlace.
  • En SD-WAN, también está disponible la opción de sincronización QoS de los operadores de telecomunicaciones, no solo en función de los campos DSCP L3, sino también de los valores CoS L2, que pueden generarse automáticamente en la red de sucursales mediante dispositivos especializados, por ejemplo, IP. Los telefonos

¿En qué se diferencian las capacidades y los métodos para definir y aplicar políticas de AppQ?

Políticas DMVPN/PfR:

  • Definido en los enrutadores de la sucursal central a través de la línea de comando CLI o las plantillas de configuración CLI. La generación de plantillas CLI requiere preparación y conocimiento de la sintaxis de políticas.

    ¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

  • Definido globalmente sin posibilidad de configuración/cambio individual según los requisitos de cada segmento de red.
  • La generación de políticas interactivas no se proporciona en la interfaz gráfica.
  • No se proporciona el seguimiento de cambios, la herencia ni la creación de múltiples versiones de políticas para un cambio rápido.
  • Distribuido automáticamente a enrutadores de sucursales remotas. En este caso, se utilizan los mismos canales de comunicación que para la transmisión de datos del usuario. Si no existe un canal de comunicación entre la sucursal central y remota, la distribución/cambio de políticas es imposible.
  • Se utilizan en cada enrutador y, si es necesario, modifican el resultado de los protocolos de enrutamiento estándar, teniendo una mayor prioridad.
  • Para los casos en los que todos los enlaces WAN de las sucursales experimentan una pérdida de tráfico significativa, no se proporcionan mecanismos de compensación.

Políticas SD-WAN:

  • Definido en la GUI de vManage a través del asistente de plantilla interactivo.
  • Admite la creación de múltiples políticas, copia, herencia y cambio entre políticas en tiempo real.
  • Admite configuraciones de políticas individuales para diferentes segmentos de red (sucursales)
  • Se distribuyen utilizando cualquier canal de señal disponible entre el controlador y el enrutador y/o vSmart; no dependen directamente de la conectividad del plano de datos entre los enrutadores. Esto, por supuesto, requiere conectividad IP entre el enrutador y los controladores.

    ¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

  • Para los casos en que todas las sucursales disponibles de una sucursal experimenten pérdidas de datos significativas que excedan los umbrales aceptables para aplicaciones críticas, es posible utilizar mecanismos adicionales que aumenten la confiabilidad de la transmisión:
    • FEC (Corrección de errores hacia adelante) – utiliza un algoritmo de codificación redundante especial. Al transmitir tráfico crítico a través de canales con un porcentaje significativo de pérdidas, FEC se puede activar automáticamente y permite, si es necesario, restaurar la parte perdida de los datos. Esto aumenta ligeramente el ancho de banda de transmisión utilizado, pero mejora significativamente la confiabilidad.

      ¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

    • Duplicación de flujos de datos – Además de FEC, la política puede prever la duplicación automática del tráfico de aplicaciones seleccionadas en caso de un nivel de pérdidas aún más grave que no pueda ser compensado por FEC. En este caso, los datos seleccionados se transmitirán a través de todos los túneles hacia la rama receptora con la posterior deduplicación (eliminando copias adicionales de paquetes). El mecanismo aumenta significativamente la utilización del canal, pero también aumenta significativamente la confiabilidad de la transmisión.

Capacidades de Cisco SD-WAN, sin análogos directos en DMVPN/PfR

La arquitectura de la solución Cisco SD-WAN en algunos casos le permite obtener capacidades que son extremadamente difíciles de implementar dentro de DMVPN/PfR, o no son prácticas debido a los costos laborales requeridos, o son completamente imposibles. Veamos los más interesantes de ellos:

Ingeniería de tráfico (TE)

TE incluye mecanismos que permiten que el tráfico se desvíe de la ruta estándar formada por los protocolos de enrutamiento. TE se utiliza a menudo para garantizar una alta disponibilidad de los servicios de red, a través de la capacidad de transferir de forma rápida y/o proactiva tráfico crítico a una ruta de transmisión alternativa (disociada), para garantizar una mejor calidad del servicio o velocidad de recuperación en caso de falla. en el camino principal.

La dificultad para implementar TE radica en la necesidad de calcular y reservar (verificar) un camino alternativo con anticipación. En las redes MPLS de operadores de telecomunicaciones, este problema se resuelve utilizando tecnologías como MPLS Traffic-Engineering con extensiones de los protocolos IGP y RSVP. También recientemente, la tecnología de enrutamiento de segmentos, que está más optimizada para la configuración y orquestación centralizadas, se ha vuelto cada vez más popular. En las redes WAN clásicas, estas tecnologías no suelen estar representadas o se reducen al uso de mecanismos salto a salto como el enrutamiento basado en políticas (PBR), que son capaces de bifurcar el tráfico, pero lo implementan en cada enrutador por separado, sin tomar en cuenta el estado general de la red o el resultado PBR en los pasos anteriores o posteriores. El resultado del uso de estas opciones TE es decepcionante: MPLS TE, debido a la complejidad de la configuración y el funcionamiento, se usa, por regla general, solo en la parte más crítica de la red (núcleo) y PBR se usa en enrutadores individuales sin la capacidad de crear una política PBR unificada para toda la red. Obviamente, esto también se aplica a las redes basadas en DMVPN.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

SD-WAN en este sentido ofrece una solución mucho más elegante que no solo es fácil de configurar, sino que también escala mucho mejor. Esto es el resultado de las arquitecturas de plano de control y de plano de políticas utilizadas. La implementación de un plano de políticas en SD-WAN le permite definir de forma centralizada la política de TE: ¿qué tráfico es de interés? ¿Para qué VPN? ¿A través de qué nodos/túneles es necesario o, por el contrario, prohibido formar una ruta alternativa? A su vez, la centralización de la gestión del plano de control basada en controladores vSmart le permite modificar los resultados del enrutamiento sin recurrir a la configuración de dispositivos individuales: los enrutadores ya ven solo el resultado de la lógica que se generó en la interfaz vManage y se transfirió para su uso a inteligente.

encadenamiento de servicios

Formar cadenas de servicios es una tarea aún más laboriosa en el enrutamiento clásico que el mecanismo de ingeniería de tráfico ya descrito. De hecho, en este caso, es necesario no solo crear una ruta especial para una aplicación de red específica, sino también garantizar la capacidad de eliminar el tráfico de la red en ciertos (o todos) los nodos de la red SD-WAN para su procesamiento por una aplicación o servicio especial (Firewall, Equilibrio, Almacenamiento en caché, Inspección de tráfico, etc.). Al mismo tiempo, es necesario poder controlar el estado de estos servicios externos para evitar situaciones de agujeros negros, y también se necesitan mecanismos que permitan que dichos servicios externos del mismo tipo se coloquen en diferentes ubicaciones geográficas. con la capacidad de la red de seleccionar automáticamente el nodo de servicio más óptimo para procesar el tráfico de una sucursal en particular. En el caso de Cisco SD-WAN, esto es bastante fácil de lograr mediante la creación de una política centralizada adecuada que "pegue" todos los aspectos de la cadena de servicios de destino en un solo todo y cambie automáticamente la lógica del plano de datos y del plano de control solo cuando y cuando sea necesario.

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

La capacidad de crear un procesamiento geodistribuido del tráfico de tipos seleccionados de aplicaciones en una secuencia determinada en equipos especializados (pero no relacionados con la red SD-WAN en sí) es quizás la demostración más clara de las ventajas de Cisco SD-WAN sobre la clásica. tecnologías e incluso algunas soluciones SD-WAN alternativas de otros fabricantes.

¿El resultado?

Obviamente, tanto DMVPN (con o sin Performance Routing) como Cisco SD-WAN terminan resolviendo problemas muy similares en relación con la red WAN distribuida de la organización. Al mismo tiempo, importantes diferencias arquitectónicas y funcionales en la tecnología Cisco SD-WAN conducen al proceso de resolución de estos problemas. a otro nivel de calidad. En resumen, podemos observar las siguientes diferencias significativas entre las tecnologías SD-WAN y DMVPN/PfR:

  • DMVPN/PfR en general utiliza tecnologías probadas para construir redes VPN superpuestas y, en términos de plano de datos, son similares a la tecnología SD-WAN más moderna, sin embargo, existen una serie de limitaciones en forma de una configuración estática obligatoria. de enrutadores y la elección de topologías se limita a Hub-n-Spoke. Por otro lado, DMVPN/PfR tiene algunas funcionalidades que aún no están disponibles dentro de SD-WAN (estamos hablando de BFD por aplicación).
  • Dentro del plano de control, las tecnologías difieren fundamentalmente. Teniendo en cuenta el procesamiento centralizado de los protocolos de señalización, SD-WAN permite, en particular, reducir significativamente los dominios de falla y "desacoplar" el proceso de transmisión del tráfico de usuarios de la interacción de señalización; la indisponibilidad temporal de los controladores no afecta la capacidad de transmitir el tráfico de usuarios. . Al mismo tiempo, la indisponibilidad temporal de cualquier sucursal (incluida la central) no afecta de ninguna manera la capacidad de otras sucursales para interactuar entre sí y con los controladores.
  • La arquitectura para la formación y aplicación de políticas de gestión de tráfico en el caso de SD-WAN también es superior a la de DMVPN/PfR: la reserva geográfica está mucho mejor implementada, no hay conexión al Hub, hay más oportunidades para obtener multas -Ajustando las políticas, la lista de escenarios de gestión del tráfico implementados también es mucho mayor.
  • El proceso de orquestación de soluciones también es significativamente diferente. DMVPN asume la presencia de parámetros previamente conocidos que deben reflejarse de alguna manera en la configuración, lo que limita un poco la flexibilidad de la solución y la posibilidad de cambios dinámicos. A su vez, SD-WAN se basa en el paradigma de que en el momento inicial de la conexión, el enrutador "no sabe nada" sobre sus controladores, pero sabe "a quién preguntarle"; esto es suficiente no solo para establecer comunicación automáticamente con los controladores, sino también para formar automáticamente una topología de plano de datos completamente conectada, que luego se puede configurar/cambiar de manera flexible mediante políticas.
  • En términos de gestión centralizada, automatización y monitoreo, se espera que SD-WAN supere las capacidades de DMVPN/PfR, que han evolucionado a partir de tecnologías clásicas y dependen más de la línea de comando CLI y el uso de sistemas NMS basados ​​en plantillas.
  • En SD-WAN, en comparación con DMVPN, los requisitos de seguridad han alcanzado un nivel cualitativo diferente. Los principios fundamentales son la confianza cero, la escalabilidad y la autenticación de dos factores.

Estas simples conclusiones pueden dar la impresión equivocada de que la creación de una red basada en DMVPN/PfR ha perdido toda relevancia hoy en día. Por supuesto, esto no es del todo cierto. Por ejemplo, en los casos en que la red utiliza muchos equipos obsoletos y no hay forma de reemplazarlos, DMVPN puede permitirle combinar dispositivos “viejos” y “nuevos” en una única red geodistribuida con muchas de las ventajas descritas. arriba.

Por otro lado, cabe recordar que todos los routers corporativos Cisco actuales basados ​​en IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) soportan hoy cualquier modo de funcionamiento -tanto enrutamiento clásico como DMVPN y SD-WAN-. la elección está determinada por las necesidades actuales y entendiendo que en cualquier momento, utilizando el mismo equipo, se puede comenzar a avanzar hacia una tecnología más avanzada.

Fuente: habr.com

Añadir un comentario