Kas Cisco SD-WAN lõikab ära haru, millel DMVPN asub?

Alates 2017. aasta augustist, mil Cisco omandas Viptela, on ettevõtte hajutatud võrkude korraldamiseks pakutav põhitehnoloogia saanud Cisco SD-WAN. Viimase 3 aasta jooksul on SD-WAN-tehnoloogia läbi teinud palju muudatusi, nii kvalitatiivseid kui ka kvantitatiivseid. Seega on funktsionaalsus oluliselt laienenud ja seeria klassikalistele ruuteritele on ilmunud tugi Cisco ISR 1000, ISR 4000, ASR 1000 ja Virtual CSR 1000v. Samal ajal imestavad paljud Cisco kliendid ja partnerid jätkuvalt: millised on erinevused Cisco SD-WAN-i ja juba tuttavate lähenemisviiside vahel, mis põhinevad sellistel tehnoloogiatel nagu Cisco DMVPN и Cisco jõudlusmarsruutimine ja kui olulised need erinevused on?

Siin tuleks kohe teha reservatsioon, et enne SD-WAN-i tulekut Cisco portfelli moodustas DMVPN koos PfR-iga arhitektuuri võtmeosa. Cisco IWAN (intelligentne WAN), mis omakorda oli täisväärtusliku SD-WAN-tehnoloogia eelkäija. Vaatamata nii lahendatavate ülesannete kui ka nende lahendamise meetodite üldisele sarnasusele, ei saanud IWAN kunagi SD-WAN-i jaoks vajalikku automatiseerituse, paindlikkuse ja mastaapsuse taset ning aja jooksul on IWAN-i areng oluliselt vähenenud. Samal ajal pole IWAN-i moodustavad tehnoloogiad kuhugi kadunud ja paljud kliendid kasutavad neid jätkuvalt edukalt, sealhulgas kaasaegsetel seadmetel. Selle tulemusena on tekkinud huvitav olukord - sama Cisco varustus võimaldab valida sobivaima WAN-tehnoloogia (klassikaline, DMVPN+PfR või SD-WAN) vastavalt klientide nõudmistele ja ootustele.

Artiklis ei kavatseta üksikasjalikult analüüsida kõiki Cisco SD-WAN-i ja DMVPN-i tehnoloogiate funktsioone (koos jõudlusmarsruutiga või ilma) - selle jaoks on saadaval tohutul hulgal dokumente ja materjale. Peamine ülesanne on püüda hinnata nende tehnoloogiate peamisi erinevusi. Kuid enne nende erinevuste üle arutlemist meenutagem lühidalt tehnoloogiaid endid.

Mis on Cisco DMVPN ja miks seda vaja on?

Cisco DMVPN lahendab harukontori võrgu dünaamilise (skaleeritava) ühenduse probleemi ettevõtte keskkontori võrguga mis tahes tüüpi sidekanali, sealhulgas interneti (kanali krüptimisega), abil. Tehniliselt saavutatakse see L3-klassi virtualiseeritud kattevõrgu loomisega. VPN punkt-mitmepunkti režiimis loogilise tähe (jaoturi ja kodara) topoloogiaga. Selleks kasutab DMVPN järgmiste tehnoloogiate kombinatsiooni:

• IP-marsruutimine
• Mitmepunktilised GRE tunnelid (mGRE)
• Next Hop Resolution Protocol (NHRP)
• IPSec krüptoprofiilid

Millised on Cisco DMVPN-i peamised eelised võrreldes klassikalise MPLS VPN-i kanaleid kasutava marsruutimisega?

• Harudevahelise võrgu loomiseks on võimalik kasutada mis tahes sidekanaleid – sobib kõik, mis suudab harude vahel IP-ühendust pakkuda, samas kui liiklus on krüpteeritud (vajadusel) ja tasakaalustatud (võimaluse korral)
• Täielikult ühendatud topoloogia harude vahel moodustub automaatselt. Samal ajal on kesksete ja kaugemate harude vahel staatilised tunnelid ning kaugemate harude vahel (liikluse korral) dünaamilised tunnelid.
• Kesk- ja kaugeharude ruuteritel on ühtne konfiguratsioon täpsusega IP-aadressid liidesed. mGRE kasutamine välistab vajaduse kümnete, sadade või isegi tuhandete tunnelite eraldi konfigureerimiseks. See tagab õige disaini korral suurepärase skaleeritavuse.

Mis on Cisco jõudlusmarsruutimine ja miks seda vaja on?

DMVPN-i kasutamisel harudevahelises võrgus jääb lahendamata üks äärmiselt oluline küsimus - kuidas dünaamiliselt hinnata iga DMVPN-i tunneli seisukorda, et see vastaks meie organisatsiooni jaoks kriitilistele liiklusnõuetele ja jällegi sellise hinnangu põhjal dünaamiliselt teha. marsruudi muutmise otsus? Fakt on see, et DMVPN erineb selles osas vähe klassikalisest marsruutimisest - parim, mida saab teha, on konfigureerida QoS-i mehhanismid, mis võimaldavad teil suunata liiklust prioriteediks väljuvas suunas, kuid ei suuda mingil juhul arvestada kogu tee ühel või teisel ajal.

Ja mida teha, kui kanal laguneb osaliselt ja mitte täielikult - kuidas seda tuvastada ja hinnata? DMVPN ise ei saa seda teha. Arvestades, et harusid ühendavad kanalid võivad läbida täiesti erinevaid sideoperaatoreid, kasutades täiesti erinevaid tehnoloogiaid, muutub see ülesanne äärmiselt ebatriviaalseks. Ja siin tulebki appi Cisco Performance Routing tehnoloogia, mis oli selleks ajaks juba mitu arenguetappi läbinud.

Cisco Performance Routingi (edaspidi PfR) ülesanne taandub liiklusteede (tunnelite) oleku mõõtmisele võrgurakenduste jaoks oluliste põhimõõdikute põhjal. latentsus, latentsusaja kõikumine (värina) ja pakettakad (protsentides). Lisaks saab mõõta kasutatud ribalaiust. Need mõõtmised toimuvad võimalikult reaalajalähedaselt ja õigustatult ning nende mõõtmiste tulemus võimaldab PfR-i kasutaval ruuteril dünaamiliselt teha otsuseid selle või selle tüüpi liikluse marsruutimise muutmise vajaduse kohta.

Seega saab DMVPN/PfR kombinatsiooni ülesannet lühidalt kirjeldada järgmiselt:

• Lubage kliendil kasutada WAN-võrgu mis tahes sidekanaleid
• Tagada nendes kanalites kriitiliste rakenduste kõrgeim võimalik kvaliteet

Mis on Cisco SD-WAN?

Cisco SD-WAN on tehnoloogia, mis kasutab organisatsiooni WAN-võrgu loomiseks ja haldamiseks SDN-lähenemist. Eelkõige tähendab see nn kontrollerite (tarkvaraelementide) kasutamist, mis tagavad kõigi lahenduse komponentide tsentraliseeritud orkestreerimise ja automatiseeritud seadistamise. Erinevalt kanoonilisest SDN-st (Clean Slate style), kasutab Cisco SD-WAN mitut tüüpi kontrollereid, millest igaüks täidab oma rolli – seda tehti tahtlikult, et tagada parem mastaapsus ja geograafilist koondamist.

SD-WANi puhul jääb mistahes tüüpi kanalite kasutamise ja ärirakenduste töö tagamise ülesanne samaks, kuid samas laienevad nõuded sellise võrgu automatiseerimisele, skaleeritavusele, turvalisusele ja paindlikkusele.

Erinevuste arutelu

Kui hakkame nüüd analüüsima nende tehnoloogiate erinevusi, jagunevad need ühte järgmistest kategooriatest:

• Arhitektuurilised erinevused – kuidas on funktsioonid lahenduse erinevate komponentide vahel jaotatud, kuidas on organiseeritud selliste komponentide koostoime ning kuidas see mõjutab tehnoloogia võimalusi ja paindlikkust?
• Funktsionaalsus – mida saab üks tehnoloogia teha, mida teine ​​ei suuda? Ja kas see on tõesti nii oluline?

Millised on arhitektuurilised erinevused ja kas need on olulised?

Igal neist tehnoloogiatest on palju "liikuvaid osi", mis erinevad mitte ainult oma rollide, vaid ka üksteisega suhtlemise poolest. Kui hästi need põhimõtted on läbi mõeldud ja lahenduse üldine mehaanika määrab otseselt selle mastaapsuse, veataluvuse ja üldise efektiivsuse.

Vaatame üksikasjalikumalt arhitektuuri erinevaid aspekte:

Andmetasand – osa lahendusest, mis vastutab kasutaja liikluse edastamise eest allika ja vastuvõtja vahel. DMVPN ja SD-WAN rakendatakse ruuterites endis üldiselt identselt, põhinedes Multipoint GRE tunnelitel. Erinevus seisneb selles, kuidas nende tunnelite jaoks vajalik parameetrite komplekt moodustatakse:

• в DMVPN/PfR on eranditult kahetasandiline sõlmede hierarhia, millel on Star või Hub-n-Spoke topoloogia. Andmetasandi ühenduvuse loomiseks on vajalik jaoturi staatiline konfiguratsioon ja Spoke'i staatiline sidumine jaoturiga, samuti interaktsioon NHRP-protokolli kaudu. Järelikult muutes jaoturi muutmise oluliselt keerulisemaksseotud näiteks uute WAN-kanalite muutmise/ühendamisega või olemasolevate parameetrite muutmisega.
• в SD-WAN on täielikult dünaamiline mudel paigaldatud tunnelite parameetrite tuvastamiseks juhtimistasandil (OMP-protokoll) ja orkestratsioonitasandil (koostoime vBondi kontrolleriga kontrolleri tuvastamiseks ja NAT-i läbimise ülesanneteks). Sel juhul saab kasutada mis tahes kattuvaid topoloogiaid, sealhulgas hierarhilisi. Kehtestatud ülekattetunneli topoloogias on võimalik loogilise topoloogia paindlik konfigureerimine igas individuaalses VPN-is (VRF).

Juhttasand – lahenduse komponentide vahelise marsruutimise ja muu teabe vahetamise, filtreerimise ja muutmise funktsioonid.

• в DMVPN/PfR – teostatakse ainult Hub ja Spoke ruuterite vahel. Marsruutimisteabe otsene vahetamine kodarate vahel ei ole võimalik. Järelikult Ilma toimiva jaoturita ei saa juht- ja andmetasand toimida, mis seab jaoturile täiendavad kõrged käideldavusnõuded, mida ei saa alati täita.
• в SD-WAN – juhttasandit ei teostata kunagi otse ruuterite vahel – interaktsioon toimub OMP-protokolli alusel ja see toimub tingimata eraldi spetsiaalset tüüpi vSmart-kontrolleri kaudu, mis annab võimaluse tasakaalustada, geograafiliselt broneerida ja tsentraliseeritud juhtimist juhtida. signaali koormus. Teine OMP-protokolli omadus on märkimisväärne vastupidavus kadudele ja sõltumatus kontrolleritega sidekanali kiirusest (muidugi mõistlikes piirides). Mis võimaldab sama edukalt paigutada SD-WAN-kontrollereid avalikesse või privaatsetesse pilvedesse, millel on juurdepääs Interneti kaudu.

Poliitikatasand – osa lahendusest, mis vastutab hajutatud võrgus liikluse haldamise poliitikate määratlemise, levitamise ja rakendamise eest.

• DMVPN – on tõhusalt piiratud teenusekvaliteedi (QoS) poliitikaga, mis on CLI või Prime Infrastructure mallide kaudu igas ruuteris eraldi konfigureeritud.
• DMVPN/PfR – PfR-poliitikad moodustatakse tsentraliseeritud põhikontrolleri (MC) ruuteris CLI kaudu ja jaotatakse seejärel automaatselt haru MC-dele. Sel juhul kasutatakse samu poliitikaedastusteed, mis andmetasandil. Poliiside, marsruutimisteabe ja kasutajaandmete vahetust ei ole võimalik eraldada. Poliitika levitamine eeldab IP-ühenduse olemasolu jaoturi ja Spoke'i vahel. Sel juhul saab MC funktsiooni vajadusel kombineerida DMVPN ruuteriga. Tsentraliseeritud poliitika loomiseks on võimalik (kuid mitte kohustuslik) kasutada Prime Infrastructure'i malle. Oluline omadus on see, et poliitika kujundatakse globaalselt kogu võrgu ulatuses ühtemoodi - Üksikute segmentide individuaalseid eeskirju ei toetata.
• SD-WAN – liikluse haldamise ja teenuse kvaliteedipoliitikate määramine toimub tsentraalselt Cisco vManage graafilise liidese kaudu, mis on vajadusel kättesaadav ka Interneti kaudu. Neid levitatakse signaalikanalite kaudu otse või kaudselt vSmarti kontrollerite kaudu (olenevalt poliitika tüübist). Need ei sõltu ruuterite vahelisest andmetasandi ühendusest, sest kasutada kõiki saadaolevaid liiklusteid kontrolleri ja ruuteri vahel.

  Erinevate võrgusegmentide jaoks on võimalik paindlikult formuleerida erinevaid poliitikaid - poliitika ulatuse määravad paljud lahenduses toodud unikaalsed identifikaatorid - haru number, rakenduse tüüp, liikluse suund jne.

Orkestratsioon-lennuk – mehhanismid, mis võimaldavad komponentidel üksteist dünaamiliselt tuvastada, järgnevaid interaktsioone konfigureerida ja koordineerida.

• в DMVPN/PfR Ruuterite vastastikune avastamine põhineb jaoturi seadmete staatilisel konfiguratsioonil ja Spoke seadmete vastaval konfiguratsioonil. Dünaamiline avastamine toimub ainult Spoke'i puhul, mis edastab seadmele oma jaoturi ühenduse parameetrid, mis omakorda on Spoke'iga eelkonfigureeritud. Ilma IP-ühenduseta Spoke'i ja vähemalt ühe jaoturi vahel on võimatu moodustada andmetasandit ega juhttasandit.
• в SD-WAN lahenduse komponentide orkestreerimine toimub vBondi kontrolleri abil, millega iga komponent (ruuterid ja vManage/vSmart kontrollerid) peab esmalt looma IP-ühenduse.

  Esialgu ei tea komponendid üksteise ühendusparameetreid – selleks on vaja vBondi vaheorkestrit. Üldpõhimõte on järgmine - iga komponent õpib algfaasis (automaatselt või staatiliselt) ainult vBondiga ühenduse parameetrid, seejärel teavitab vBond ruuterit vManage ja vSmart kontrolleritest (varem avastatud), mis võimaldab automaatselt luua kõik vajalikud signalisatsiooniühendused.

  Järgmise sammuna peab uus ruuter vSmart-kontrolleriga OMP-side kaudu tutvuma teiste võrgus olevate ruuteritega. Seega suudab ruuter, teadmata alguses üldse midagi võrgu parameetritest, täielikult automaatselt tuvastada ja ühenduda kontrolleritega ning seejärel ka automaatselt tuvastada ja moodustada ühenduvust teiste ruuteritega. Sel juhul on kõigi komponentide ühendusparameetrid esialgu teadmata ja võivad töö käigus muutuda.

Juhtimistasand – osa lahendusest, mis pakub tsentraliseeritud haldust ja järelevalvet.

• DMVPN/PfR – ei pakuta spetsiaalset juhtimistasandi lahendust. Põhilise automatiseerimise ja jälgimise jaoks saab kasutada selliseid tooteid nagu Cisco Prime Infrastructure. Iga ruuterit saab juhtida CLI käsurea kaudu. Integreerimist väliste süsteemidega API kaudu ei pakuta.
• SD-WAN – kogu regulaarne suhtlus ja jälgimine toimub tsentraalselt vManage kontrolleri graafilise liidese kaudu. Kõik lahenduse funktsioonid on eranditult saadaval konfigureerimiseks nii vManage'i kui ka täielikult dokumenteeritud REST API teegi kaudu.

  Kõik vManage'i SD-WAN-i võrgusätted taanduvad kahele peamisele konstruktsioonile - seadme mallide moodustamine (Device Template) ja poliitika kujundamine, mis määrab võrgu toimimise ja liikluse töötlemise loogika. Ühtlasi valib vManage, edastades administraatori poolt genereeritud poliitikat automaatselt, millised muudatused ja millistel üksikutel seadmetel/kontrolleritel tuleb teha, mis tõstab oluliselt lahenduse efektiivsust ja skaleeritavust.

  VManage'i liidese kaudu pole saadaval mitte ainult Cisco SD-WAN lahenduse konfigureerimine, vaid ka lahenduse kõigi komponentide oleku täielik jälgimine kuni üksikute tunnelite mõõdikute hetkeseisu ja erinevate rakenduste kasutamise statistikani. põhineb DPI analüüsil.

  Vaatamata interaktsiooni tsentraliseerimisele on kõigil komponentidel (kontrolleritel ja ruuteritel) ka täielikult toimiv CLI käsurida, mis on vajalik juurutamisetapis või hädaolukorras kohalikuks diagnostikaks. Tavarežiimis (kui komponentide vahel on signalisatsioonikanal) on ruuteritel käsurida saadaval ainult diagnostikaks ja pole saadaval kohalike muudatuste tegemiseks, mis tagab kohaliku turvalisuse ja ainuke muudatuste allikas sellises võrgus on vManage.

Integreeritud turvalisus – siin tuleks rääkida mitte ainult kasutajaandmete kaitsest avatud kanalite kaudu edastamisel, vaid ka valitud tehnoloogial põhineva WAN-võrgu üldisest turvalisusest.

• в DMVPN/PfR Võimalik on krüpteerida kasutajaandmeid ja signalisatsiooniprotokolle. Teatud ruuterimudelite kasutamisel on lisaks saadaval tulemüüri funktsioonid koos liikluskontrolliga, IPS/IDS. VRF-i abil on võimalik haruvõrke segmentida. Võimalik on autentida (ühefaktorilisi) juhtimisprotokolle.

  Sellisel juhul peetakse kaugruuterit vaikimisi võrgu usaldusväärseks elemendiks – s.t. ei eeldata ega võeta arvesse üksikute seadmete füüsilise kompromiteerimise juhtumeid ja neile volitamata juurdepääsu võimalust, puudub lahenduse komponentide kahefaktoriline autentimine, mis geograafiliselt hajutatud võrgu puhul võib kaasa tuua olulisi lisariske.

• в SD-WAN analoogselt DMVPN-ga pakutakse kasutajaandmete krüptimise võimalust, kuid oluliselt laiendatud võrguturbe ja L3/VRF-i segmenteerimisfunktsioonidega (tulemüür, IPS/IDS, URL-i filtreerimine, DNS-i filtreerimine, AMP/TG, SASE, TLS/SSL-puhverserver, jne) d.). Samas toimub krüpteerimisvõtmete vahetamine tõhusamalt läbi vSmart kontrollerite (mitte otse), eelnevalt loodud signalisatsioonikanalite kaudu, mis on kaitstud turvasertifikaatidel põhineva DTLS/TLS krüptimisega. Mis omakorda tagab selliste vahetuste turvalisuse ja tagab lahenduse parema skaleeritavuse kuni kümnete tuhandete seadmeteni samas võrgus.

  Kõik signaalimisühendused (kontroller-kontroller, kontroller-ruuter) on samuti kaitstud DTLS/TLS-i alusel. Ruuterid on tootmise ajal varustatud ohutussertifikaatidega koos väljavahetamise/pikendusvõimalusega. Kahefaktoriline autentimine saavutatakse ruuteri/kontrolleri SD-WAN-võrgus töötamiseks vajalike kahe tingimuse kohustusliku ja samaaegse täitmisega:

  • Kehtiv turvasertifikaat
  • Iga komponendi selgesõnaline ja teadlik lisamine lubatud seadmete valgesse loendisse administraatori poolt.

Funktsionaalsed erinevused SD-WAN ja DMVPN/PfR vahel

Funktsionaalsete erinevuste üle arutledes tuleb märkida, et paljud neist on arhitektuursete omade jätk - pole saladus, et lahenduse arhitektuuri kujundamisel lähtuvad arendajad võimalustest, mida nad lõpuks soovivad saada. Vaatame kahe tehnoloogia kõige olulisemaid erinevusi.

AppQ (Application Quality) – funktsioonid ärirakenduste liikluse edastamise kvaliteedi tagamiseks

Vaadeldavate tehnoloogiate põhifunktsioonid on suunatud kasutajakogemuse võimalikult suurele parandamisele ärikriitiliste rakenduste kasutamisel hajusvõrgus. See on eriti oluline tingimustes, kus osa infrastruktuurist ei ole IT poolt kontrollitud või ei taga isegi edukat andmeedastust.

DMVPN ise selliseid mehhanisme ei paku. Parim, mida klassikalises DMVPN-võrgus teha saab, on klassifitseerida väljuv liiklus rakenduse järgi ja seada see WAN-kanalisse edastamisel prioriteediks. DMVPN-tunneli valiku määrab sel juhul ainult selle kättesaadavus ja marsruutimisprotokollide toimimise tulemus. Samal ajal ei võeta võrgurakenduste jaoks oluliste põhinäitajate – viivituse, viivituse varieeruvuse (värina) ja kadude (% – puhul arvesse tee/tunneli lõpp-otsa olekut ja selle võimalikku osalist halvenemist). ). Sellega seoses kaotab klassikalise DMVPN-i otsene võrdlemine SD-WAN-iga AppQ-probleemide lahendamise osas igasuguse mõtte - DMVPN ei saa seda probleemi lahendada. Kui lisate sellesse konteksti Cisco Performance Routing (PfR) tehnoloogia, muutub olukord ja võrdlus Cisco SD-WAN-iga muutub sisukamaks.

Enne kui arutame erinevusi, vaatame siin lühidalt, kuidas tehnoloogiad on sarnased. Niisiis, mõlemad tehnoloogiad:

• omama mehhanismi, mis võimaldab teil dünaamiliselt hinnata iga rajatud tunneli olekut teatud mõõdikute järgi – minimaalselt, viivituse, viivituse variatsiooni ja paketikadu (%)
• kasutada kindlat tööriistakomplekti liikluskorraldusreeglite (poliitika) kujundamiseks, levitamiseks ja rakendamiseks, võttes arvesse tunneli põhimõõdikute seisukorra mõõtmise tulemusi.
• klassifitseerida rakenduste liiklus OSI mudeli L3-L4 (DSCP) tasemel või L7 rakenduse allkirjade järgi, mis põhinevad ruuterisse sisseehitatud DPI mehhanismidel
• Oluliste rakenduste puhul võimaldavad need määrata mõõdikute vastuvõetavad läviväärtused, vaikimisi liikluse edastamise reeglid ja läviväärtuste ületamise korral liikluse ümbersuunamise reeglid.
• Liikluse kapseldamisel GRE/IPSec-i kasutavad nad juba loodud tööstuslikku mehhanismi sisemiste DSCP-märgiste edastamiseks välisele GRE/IPSEC-paketi päisele, mis võimaldab sünkroonida organisatsiooni ja sideoperaatori QoS-poliitikat (kui on olemas sobiv SLA) .

Mille poolest SD-WAN ja DMVPN/PfR otspunkti mõõdikud erinevad?

DMVPN/PfR

• Tunneli standardsete tervisemõõdikute hindamiseks kasutatakse nii aktiivseid kui ka passiivseid tarkvaraandureid (Probes). Aktiivsed põhinevad kasutajaliiklusel, passiivsed emuleerivad sellist liiklust (selle puudumisel).
• Taimerite ja lagunemise tuvastamise tingimuste peenhäälestus puudub – algoritm on fikseeritud.
• Lisaks on saadaval kasutatud ribalaiuse mõõtmine väljuvas suunas. Mis lisab DMVPN/PfR-ile täiendavat liikluse haldamise paindlikkust.
• Samal ajal toetuvad mõned PfR mehhanismid mõõdikute ületamisel tagasiside signaalimisele spetsiaalsete TCA (Threshold Crossing Alert) sõnumite kujul, mis peavad tulema liikluse vastuvõtjalt allika suunas, mis omakorda eeldab, et mõõdetud kanalid peaksid olema selliste TCA-teadete edastamiseks vähemalt piisavad. Mis enamikul juhtudel ei ole probleem, kuid ilmselgelt ei saa seda tagada.

SD-WAN

• Tunneli standardsete olekumõõdikute otsast lõpuni hindamiseks kasutatakse kajarežiimis BFD-protokolli. Sel juhul ei ole vaja spetsiaalset tagasisidet TCA või sarnaste teadete kujul - tõrkedomeenid on eraldatud. Samuti ei nõua tunneli oleku hindamiseks kasutajaliikluse olemasolu.
• BFD taimereid on võimalik peenhäälestada, et reguleerida algoritmi reageerimiskiirust ja tundlikkust sidekanali halvenemise suhtes mitmest sekundist minutini.

  

• Artikli kirjutamise ajal on igas tunnelis ainult üks BFD seanss. See võib tekitada tunneli oleku analüüsis vähem detailsust. Tegelikkuses võib see saada piiranguks ainult siis, kui kasutate MPLS L2/L3 VPN-il põhinevat WAN-ühendust kokkulepitud QoS SLA-ga – kui BFD-liikluse DSCP-tähis (pärast kapseldamist IPSec/GRE-sse) ühtib kõrge prioriteediga järjekorraga sideoperaatori võrku, võib see mõjutada madala prioriteediga liikluse halvenemise tuvastamise täpsust ja kiirust. Samal ajal on võimalik muuta BFD vaikemärgistust, et vähendada selliste olukordade ohtu. Cisco SD-WAN tarkvara tulevastes versioonides on oodata täpsemaid BFD-sätteid, aga ka võimalust käivitada mitu BFD-seanssi samas tunnelis individuaalsete DSCP-väärtustega (erinevate rakenduste jaoks).
• Lisaks võimaldab BFD hinnata maksimaalset paketi suurust, mida saab edastada läbi konkreetse tunneli ilma killustatuseta. See võimaldab SD-WAN-il dünaamiliselt reguleerida parameetreid, nagu MTU ja TCP MSS Adjust, et kasutada maksimaalselt ära iga lingi saadaolevat ribalaiust.
• SD-WAN-is on saadaval ka QoS-i sünkroonimise võimalus telekommunikatsioonioperaatoritelt, mitte ainult L3 DSCP väljade, vaid ka L2 CoS väärtuste põhjal, mida saab haruvõrgus spetsialiseeritud seadmete abil automaatselt genereerida - näiteks IP. telefonid

Kuidas erinevad AppQ poliitikate määratlemise ja rakendamise võimalused, meetodid?

DMVPN/PfR eeskirjad:

• Määratletakse keskharu ruuteri(te)l CLI käsurea või CLI konfiguratsioonimallide kaudu. CLI mallide genereerimine nõuab ettevalmistust ja poliitika süntaksi tundmist.

  

• Määratletud globaalselt ilma individuaalse konfigureerimise/muutmise võimaluseta üksikute võrgusegmentide nõuetele.
• Graafilises liideses ei pakuta interaktiivset poliitika loomist.
• Muudatuste jälgimist, pärimist ja mitme poliitikaversiooni loomist kiireks ümberlülitamiseks ei pakuta.
• Jaotatakse automaatselt kaugharude ruuteritele. Sel juhul kasutatakse samu sidekanaleid, mis kasutajaandmete edastamiseks. Kui kesk- ja kaugharu vahel puudub sidekanal, on poliitikate levitamine/muutmine võimatu.
• Neid kasutatakse igas ruuteris ja vajadusel muudetakse standardsete marsruutimisprotokollide tulemusi, millel on kõrgem prioriteet.
• Juhtudeks, kui kõik haru WAN-i lingid kogevad märkimisväärset liikluskaotust, kompensatsioonimehhanisme pole ette nähtud.

SD-WAN-i eeskirjad:

• Määratletakse vManage'i GUI-s interaktiivse malliviisardi kaudu.
• Toetab mitme poliitika loomist, kopeerimist, pärimist ja reaalajas poliitikate vahel vahetamist.
• Toetab individuaalseid poliitikasätteid erinevatele võrgusegmentidele (harudele)
• Neid jaotatakse mis tahes saadaoleva signaalikanali kaudu kontrolleri ja ruuteri ja/või vSmarti vahel – need ei sõltu otseselt ruuterite vahelisest andmetasandi ühenduvusest. See eeldab muidugi IP-ühendust ruuteri enda ja kontrollerite vahel.

  

• Juhtudel, kui filiaali kõigis saadaolevates harudes esineb olulisi andmekadusid, mis ületavad kriitiliste rakenduste jaoks vastuvõetavaid lävesid, on võimalik kasutada täiendavaid mehhanisme, mis suurendavad edastuskindlust:
  • FEC (edasi veaparandus) – kasutab spetsiaalset üleliigset kodeerimisalgoritmi. Kriitilise liikluse edastamisel kanalite kaudu, millel on märkimisväärne kadude protsent, saab FEC automaatselt aktiveerida ja võimaldab vajadusel taastada kaotatud osa andmetest. See suurendab veidi kasutatavat edastusriba, kuid parandab oluliselt töökindlust.

    

  • Andmevoogude dubleerimine – Lisaks FEC-ile võib poliitika ette näha valitud rakenduste liikluse automaatse dubleerimise veelgi tõsisemate kadude korral, mida FEC ei suuda kompenseerida. Sel juhul edastatakse valitud andmed läbi kõigi tunnelite vastuvõtva haru suunas koos järgneva deduplikatsiooniga (pakettide lisakoopiate eemaldamine). Mehhanism suurendab oluliselt kanalite kasutamist, kuid suurendab oluliselt ka edastuskindlust.

Cisco SD-WAN-i võimalused ilma otseste analoogideta DMVPN/PfR-is

Cisco SD-WAN-lahenduse arhitektuur võimaldab mõnel juhul omandada võimalusi, mida on DMVPN/PfR-i raames kas äärmiselt raske rakendada või mis on nõutavate tööjõukulude tõttu ebapraktilised või täiesti võimatud. Vaatame neist kõige huvitavamaid:

Liiklustehnika (TE)

TE sisaldab mehhanisme, mis võimaldavad liiklusel hargneda marsruutimisprotokollide moodustatud standardset teed. TE-d kasutatakse sageli võrguteenuste kõrge kättesaadavuse tagamiseks tänu võimalusele kiiresti ja/või ennetavalt suunata kriitilist liiklust alternatiivsele (lahti) edastusteele, et tagada rikke korral parem teenuse kvaliteet või taastumise kiirus. peateel.

TE rakendamise raskus seisneb vajaduses eelnevalt arvutada ja reserveerida (kontrollida) alternatiivne tee. Telekommunikatsioonioperaatorite MPLS-võrkudes lahendatakse see probleem selliste tehnoloogiate abil nagu MPLS Traffic-Engineering koos IGP-protokollide ja RSVP-protokolli laiendustega. Samuti on viimasel ajal üha populaarsemaks muutunud segmentide marsruutimise tehnoloogia, mis on rohkem optimeeritud tsentraliseeritud konfigureerimiseks ja orkestreerimiseks. Klassikalistes WAN-võrkudes ei ole need tehnoloogiad tavaliselt esindatud või on taandatud hüppevaheliste mehhanismide, näiteks poliitikapõhise marsruutimise (PBR) kasutamisele, mis on võimelised liiklust hargnema, kuid rakendavad seda igas ruuteris eraldi – ilma Eelmistes või järgnevates etappides võrgu või PBR tulemuse üldist seisu arvesse võtma. Nende TE-valikute kasutamise tulemus on pettumus - MPLS TE-d kasutatakse konfiguratsiooni ja töö keerukuse tõttu reeglina ainult võrgu kõige kriitilisemas osas (tuum) ja PBR-i kasutatakse üksikutes ruuterites ilma võimalus luua ühtne PBR-poliitika kogu võrgu jaoks. Ilmselgelt kehtib see ka DMVPN-põhiste võrkude kohta.

SD-WAN pakub selles osas palju elegantsemat lahendust, mida pole mitte ainult lihtne seadistada, vaid ka palju paremini mastaapida. See on kasutatud juhtimistasandi ja poliitikatasandi arhitektuuri tulemus. Poliitikatasandi rakendamine SD-WAN-is võimaldab teil keskselt määratleda TE-poliitika – milline liiklus huvi pakub? milliste VPN-ide jaoks? Milliste sõlmede/tunnelite kaudu on alternatiivse marsruudi moodustamine vajalik või vastupidi keelatud? VSmart-kontrolleritel põhinev juhttasandi halduse tsentraliseerimine võimaldab omakorda muuta marsruutimise tulemusi ilma üksikute seadmete seadeid kasutamata - ruuterid näevad juba ainult vManage'i liideses genereeritud ja kasutamiseks üle kantud loogika tulemust. vSmart.

Teenuste aheldamine

Teenindusahelate moodustamine on klassikalises marsruutimises veelgi töömahukam ülesanne kui juba kirjeldatud liikluskorraldusmehhanism. Tõepoolest, sel juhul on vaja mitte ainult luua konkreetse võrgurakenduse jaoks spetsiaalne marsruut, vaid ka tagada võimalus eemaldada liiklus võrgust teatud (või kõigis) SD-WAN-võrgu sõlmedes töötlemiseks spetsiaalne rakendus või teenus (tulemüür, tasakaalustamine, vahemällu salvestamine, liikluse kontrollimine jne). Samal ajal on vaja osata kontrollida nende välisteenuste seisukorda, et vältida musta auku tekitamise olukordi, samuti on vaja mehhanisme, mis võimaldavad selliseid sama tüüpi välisteenuseid paigutada erinevatesse geograafilistesse asukohtadesse. võrgu võimalusega valida konkreetse haru liikluse töötlemiseks automaatselt kõige optimaalsem teenindussõlm. Cisco SD-WAN-i puhul on seda üsna lihtne saavutada, luues sobiva tsentraliseeritud poliitika, mis "liimib" kõik sihtteenuseahela aspektid üheks tervikuks ja muudab automaatselt andmetasandi ja juhttasandi loogikat ainult siis, kui ja kui vaja.

Võimalus luua valitud tüüpi rakenduste liikluse geograafiliselt hajutatud töötlemine kindlas järjestuses spetsiaalsetes (kuid mitte SD-WAN-võrgu endaga seotud) seadmetes on Cisco SD-WAN-i eeliste kõige selgem demonstratsioon klassikalise ees. tehnoloogiad ja isegi mõned alternatiivsed SD-lahendused -WAN teistelt tootjatelt.

Ja tulemus?

Ilmselgelt nii DMVPN (koos jõudlusmarsruutiga või ilma) kui ka Cisco SD-WAN lahendada väga sarnaseid probleeme seoses organisatsiooni hajutatud WAN-võrguga. Samal ajal viivad Cisco SD-WAN-tehnoloogia olulised arhitektuursed ja funktsionaalsed erinevused nende probleemide lahendamiseni. teisele kvaliteeditasemele. Kokkuvõtteks võime märkida järgmisi olulisi erinevusi SD-WAN-i ja DMVPN/PfR-tehnoloogiate vahel:

• DMVPN/PfR kasutab ülekattega VPN-võrkude ehitamiseks üldiselt ajatestitud tehnoloogiaid ja on andmetasandi poolest sarnased moodsama SD-WAN-tehnoloogiaga, kuid kohustusliku staatilise konfiguratsiooni näol on mitmeid piiranguid. ruuterite ja topoloogiate valik on piiratud Hub-n-Spoke'iga. Teisest küljest on DMVPN / PfR-il mõned funktsioonid, mis pole SD-WAN-is veel saadaval (me räägime rakendusepõhisest BFD-st).
• Juhttasandil erinevad tehnoloogiad põhimõtteliselt. Võttes arvesse signalisatsiooniprotokollide tsentraliseeritud töötlemist, võimaldab SD-WAN eelkõige oluliselt kitsendada tõrkealasid ja "lahti siduda" kasutajaliikluse edastamise protsessi signalisatsiooni interaktsioonist - kontrollerite ajutine kättesaamatus ei mõjuta kasutajaliikluse edastamise võimalust. . Samas ei mõjuta ühegi filiaali (ka keskse) ajutine kättesaamatus kuidagi teiste filiaalide võimet omavahel ja kontrolleritega suhelda.
• Liiklushalduspoliitikate kujundamise ja rakendamise arhitektuur on SD-WAN-i puhul samuti parem kui DMVPN/PfR puhul - georeserveering on palju paremini rakendatud, puudub ühendus jaoturiga, rohkem võimalusi trahvida -häälestuspoliitikat, on ka rakendatud liikluskorralduse stsenaariumide nimekiri palju suurem.
• Ka lahenduse orkestreerimisprotsess on oluliselt erinev. DMVPN eeldab varem teadaolevate parameetrite olemasolu, mis peavad kuidagi kajastuma konfiguratsioonis, mis mõnevõrra piirab lahenduse paindlikkust ja dünaamiliste muutuste võimalust. SD-WAN omakorda põhineb paradigmal, et ühenduse loomise alguses "ei tea ruuter midagi" oma kontrolleritest, kuid teab "kellelt saate küsida" - sellest piisab mitte ainult automaatseks ühenduse loomiseks. kontrolleritele, aga ka täielikult ühendatud andmetasandi topoloogia automaatseks moodustamiseks, mida saab seejärel poliitikate abil paindlikult konfigureerida/muuta.
• Tsentraliseeritud haldamise, automatiseerimise ja jälgimise osas ületab SD-WAN eeldatavasti DMVPN/PfR võimalused, mis on arenenud klassikalisest tehnoloogiast ja tuginevad rohkem CLI käsureale ja mallipõhiste NMS-süsteemide kasutamisele.
• Võrreldes DMVPN-iga on SD-WAN-is turvanõuded jõudnud erinevale kvalitatiivsele tasemele. Peamised põhimõtted on null usaldus, mastaapsus ja kahefaktoriline autentimine.

Need lihtsad järeldused võivad jätta vale mulje, et DMVPN/PfR-il põhineva võrgu loomine on tänapäeval kaotanud igasuguse tähtsuse. See pole muidugi täiesti tõsi. Näiteks juhtudel, kui võrk kasutab palju aegunud seadmeid ja seda pole võimalik asendada, võimaldab DMVPN ühendada "vanad" ja "uued" seadmed üheks geograafiliselt hajutatud võrguks, millel on palju kirjeldatud eeliseid. eespool.

Teisest küljest tuleb meeles pidada, et kõik praegused Cisco ettevõtte ruuterid, mis põhinevad IOS XE-l (ISR 1000, ISR 4000, ASR 1000, CSR 1000v), toetavad tänapäeval kõiki töörežiime - nii klassikalist marsruutimist kui ka DMVPN-i ja SD-WAN-i - valiku määravad hetkevajadused ja arusaam, et iga hetk saab samu seadmeid kasutades hakata liikuma arenenuma tehnoloogia poole.

Allikas: www.habr.com