ProHoster > Blog > Administrazioa > Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

2017ko abuztuan, Ciscok Viptela erosi zuenetik, banatutako enpresa-sareak antolatzeko eskaintzen den teknologia nagusia bihurtu da. Cisco SD-WAN. Azken 3 urteetan, SD-WAN teknologiak aldaketa asko jasan ditu, kualitatiboak zein kuantitatiboak. Horrela, funtzionaltasuna nabarmen zabaldu da eta laguntza agertu da serieko bideratzaile klasikoetan Cisco ISR 1000, ISR 4000, ASR 1000 eta Virtual CSR 1000v. Aldi berean, Ciscoren bezero eta bazkide askok galdetzen jarraitzen dute: zeintzuk diren Cisco SD-WAN eta teknologietan oinarritutako planteamendu ezagunen artean Cisco DMVPN ΠΈ Cisco Performance Routing eta zenbaterainoko garrantzia dute desberdintasun horiek?

Hemen berehala egin beharko genuke erreserba bat Ciscoren zorroan SD-WAN iritsi baino lehen, DMVPNrekin batera PfRrekin batera arkitekturan funtsezko zati bat izan zela. Cisco IWAN (WAN adimenduna), SD-WAN teknologia osoaren aurrekoa izan zena. Ebazten ari diren zereginen eta ebazteko metodoen antzekotasun orokorra izan arren, IWANek ez zuen inoiz SD-WANerako beharrezkoa den automatizazio, malgutasun eta eskalagarritasun maila jaso, eta denborarekin, IWANen garapena nabarmen murriztu da. Aldi berean, IWAN osatzen duten teknologiak ez dira desagertu, eta bezero askok arrakastaz erabiltzen jarraitzen dute, ekipo modernoetan barne. Ondorioz, egoera interesgarri bat sortu da - Cisco ekipamendu berak aukera ematen du WAN teknologiarik egokiena aukeratzeko (klasikoa, DMVPN+PfR edo SD-WAN) bezeroen eskakizun eta itxaropenen arabera.

Artikuluak ez du Cisco SD-WAN eta DMVPN teknologien ezaugarri guztiak zehatz-mehatz aztertzeko asmorik (Errendimendu-bideraketarekin edo gabe) - horretarako eskuragarri dauden dokumentu eta material ugari daude. Zeregin nagusia teknologia hauen arteko funtsezko diferentziak ebaluatzen saiatzea da. Baina desberdintasun horiei buruz eztabaidatzera pasatu aurretik, gogora ditzagun laburki teknologiak beraiek.

Zer da Cisco DMVPN eta zergatik behar da?

Cisco DMVPN-k urruneko sukurtsal-sare baten konexio dinamikoa (= eskalagarria) enpresa baten bulego zentralaren sarera konektatzeko arazoa konpontzen du komunikazio-kanal mota arbitrarioak erabiltzean, Internet barne (= komunikazio-kanalaren enkriptatzearekin). Teknikoki, L3 VPN klasearen gainjartze sare birtualizatu bat sortuz lortzen da puntutik puntu anitzeko moduan, "Star" motako topologia logiko batekin (Hub-n-Spoke). Hori lortzeko, DMVPNk teknologia hauen konbinazio bat erabiltzen du:

  • IP bideratzea
  • Puntu anitzeko GRE tunelak (mGRE)
  • Next Hop Resolution Protokoloa (NHRP)
  • IPSec Crypto profilak

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Zein dira Cisco DMVPNren abantaila nagusiak MPLS VPN kanalak erabiliz bideratze klasikoaren aldean?

  • Adarretako sare bat sortzeko, edozein komunikazio-kanal erabil daiteke - adarren arteko IP konexioa eskain dezakeen edozer da egokia, trafikoa zifratu (beharrezkoa denean) eta orekatua izango da (ahal denean).
  • Adar arteko guztiz konektatutako topologia automatikoki eratzen da. Aldi berean, tunel estatikoak daude erdiko eta urruneko adarren artean, eta urruneko adarren artean eskaeraren araberako tunel dinamikoak (trafikoa badago).
  • Erdiko eta urruneko adarretako bideratzaileek konfigurazio bera dute interfazeen IP helbideetaraino. mGRE erabiliz, ez dago banan-banan hamar, ehunka edo milaka tunel konfiguratu beharrik. Ondorioz, eskalagarritasun duina diseinu egokiarekin.

Zer da Cisco Performance Routing eta zergatik behar da?

Adar arteko sare batean DMVPN erabiltzean, galdera oso garrantzitsu bat geratzen da ebatzi gabe: nola ebaluatu dinamikoki DMVPN tunel bakoitzaren egoera gure erakundearentzat funtsezkoak diren trafiko-eskakizunak betetzeko eta, berriro ere, ebaluazio horretan oinarrituta, modu dinamikoan egin. bideratzeari buruzko erabakia? Kontua da zati honetan DMVPN bideratze klasikotik gutxi desberdintzen dela - egin daitekeen onena QoS mekanismoak konfiguratzea da, irteerako noranzkoan trafikoa lehenesteko aukera emango dutenak, baina ez dira inola ere gai egoera kontuan hartzeko. bide osoa noiz edo noiz.

Eta zer egin kanala partzialki eta ez guztiz degradatzen bada - nola detektatu eta ebaluatu hau? DMVPNk berak ezin du hori egin. Kontuan izanda sukurtsalak lotzen dituzten kanalak telekomunikazio-operadore guztiz desberdinetatik igaro daitezkeela, teknologia guztiz desberdinak erabiliz, zeregin hori oso hutsala bihurtzen da. Eta hortik dator Cisco Performance Routing teknologia erreskatatzera, ordurako garapen-fase batzuk igaro baitzituen.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Cisco Performance Routing-en zeregina (aurrerantzean PfR) trafikoaren bideen (tunelen) egoera neurtzea da sareko aplikazioetarako garrantzitsuak diren neurketa gakoetan oinarrituta - latentzia, latentziaren aldakuntza (jitter) eta pakete-galera (ehunekoa). Gainera, erabilitako banda-zabalera neur daiteke. Neurketa hauek denbora errealetik ahalik eta hurbilen eta justifikatuta gertatzen dira, eta neurketa horien emaitzari esker, PfR erabiltzen duen bideratzaileak modu dinamikoan hartu ditzake trafiko mota honen edo besteren bideraketa aldatu beharrari buruzko erabakiak.

Horrela, DMVPN/PfR konbinazioaren zeregina laburki deskriba daiteke:

  • Utzi bezeroari WAN sareko edozein komunikazio kanal erabiltzeko
  • Ziurtatu kanal horietan aplikazio kritikoen ahalik eta kalitate handiena

Zer da Cisco SD-WAN?

Cisco SD-WAN erakunde baten WAN sarea sortzeko eta funtzionatzeko SDN ikuspegia erabiltzen duen teknologia da. Honek, bereziki, kontrolagailuak (software-elementuak) deitutakoak erabiltzea esan nahi du, soluzio-osagai guztien orkestrazio zentralizatua eta konfigurazio automatizatua eskaintzen dutenak. SDN kanonikoa (Clean Slate style) ez bezala, Cisco SD-WAN-ek hainbat kontrolagailu mota erabiltzen ditu, bakoitzak bere eginkizuna betetzen du; hori nahita egin zen eskalagarritasun eta geo-erredundantzia hobea emateko.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

SD-WAN-en kasuan, edozein motatako kanalak erabiltzeko eta negozio-aplikazioen funtzionamendua ziurtatzeko zeregina berdina izaten jarraitzen du, baina, aldi berean, sare horren automatizazio, eskalagarritasun, segurtasun eta malgutasun eskakizunak zabaltzen dira.

Desberdintasunen eztabaida

Orain teknologia horien arteko desberdintasunak aztertzen hasten bagara, kategoria hauetako batean sartuko dira:

  • Ezberdintasun arkitektonikoak - nola banatzen dira funtzioak soluzioaren osagai ezberdinetan, nola antolatzen da osagai horien elkarrekintza eta nola eragiten die horrek teknologiaren gaitasunei eta malgutasunari?
  • Funtzionalitatea: zer egin dezake teknologia batek beste batek ezin duenarekin? Eta benetan horren garrantzitsua al da?

Zeintzuk dira arkitektura-desberdintasunak eta garrantzitsuak al dira?

Teknologia horietako bakoitzak "zati mugikor" asko ditu, beren rolengatik ez ezik, elkarren artean elkarreragiten duten moduagatik ere desberdinak. Printzipio hauek zein ondo pentsatuta dauden eta irtenbidearen mekanika orokorrak zuzenean zehazten du bere eskalagarritasuna, akatsen tolerantzia eta eraginkortasun orokorra.

Ikus ditzagun arkitekturaren hainbat alderdi zehatzago:

Datu-planoa – Iturburuaren eta hartzailearen artean erabiltzaileen trafikoa transmititzeko ardura duen irtenbidearen zati bat. DMVPN eta SD-WAN orokorrean berdin inplementatzen dira bideratzaileetan, GRE tunel anitzeko tuneletan oinarrituta. Desberdintasuna tunel hauetarako beharrezko parametro multzoa nola eratzen den da:

  • Π² DMVPN/PfR Star edo Hub-n-Spoke topologia duten nodoen bi mailatako hierarkia esklusiboki bat da. Hub-aren konfigurazio estatikoa eta Spoke-ren lotura estatikoa behar dira, baita NHRP protokoloaren bidez interakzioa ere datu-planoaren konektibitatea osatzeko. Ondorioz, Hub-ean aldaketak nabarmen zailagoak egiteazerikusia, adibidez, WAN kanal berriak aldatzeari/konektatzeari edo daudenen parametroak aldatzeari.
  • Π² SD WAN kontrol-planoan (OMP protokoloa) eta orkestrazio-planoan (vBond kontroladorearekin interakzioa kontrolagailu detektatzeko eta NAT zeharkatzeko zereginetarako) oinarritutako tunelen parametroak detektatzeko eredu guztiz dinamikoa da. Kasu honetan, gainjarritako edozein topologia erabil daiteke, hierarkikoak barne. Ezarritako gainjartze tunelaren topologiaren barruan, VPN (VRF) banakako topologia logikoaren konfigurazio malgua posible da.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Kontrol-planoa – konponbide-osagaien arteko bideraketa eta bestelako informazioa trukatzeko, iragazteko eta aldatzeko funtzioak.

  • Π² DMVPN/PfR – Hub eta Spoke bideratzaileen artean bakarrik egiten da. Ezin da bideratze-informazioaren zuzeneko trukea Spokes-en artean. Ondorioz, Funtzionatzen duen Hubrik gabe, kontrol-planoak eta datu-planoak ezin dira funtzionatu, beti bete ezin diren Hub-ari erabilgarritasun handiko eskakizun gehigarriak ezartzen dizkiona.
  • Π² SD WAN – Kontrol-planoa ez da inoiz bideratzaileen artean zuzenean egiten – elkarrekintza OMP protokoloan oinarrituta gertatzen da eta nahitaez vSmart kontrolagailu mota berezi baten bidez gauzatzen da, zeinak orekatzeko, geo-erreserbatzeko eta kontrol zentralizatzeko aukera ematen du. seinalearen karga. OMP protokoloaren beste ezaugarri bat galeren aurrean duen erresistentzia handia eta kontrolagailuekiko komunikazio-kanalaren abiaduraren independentzia da (arrazoizko mugen barruan, noski). Horrek aukera ematen du SD-WAN kontrolagailuak hodei publiko edo pribatuetan Internet bidez sartzeko.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Politika-planoa – Sare banatu batean trafikoa kudeatzeko politikak definitu, banatu eta aplikatzeko ardura duen irtenbidearen zati bat.

  • DMVPN – CLI edo Prime Infrastructure txantiloien bidez bideratzaile bakoitzean banan-banan konfiguratutako zerbitzuaren kalitatearen (QoS) politikek mugatuta dago.
  • DMVPN/PfR – PfR politikak Master Controller (MC) bideratzaile zentralizatuan eratzen dira CLI bidez eta, ondoren, automatikoki banatzen dira adar MCetara. Kasu honetan, datu-planorako politika-transferentzia bide berak erabiltzen dira. Ez dago politikak, bideratze-informazioa eta erabiltzaileen datuak bereizteko aukerarik. Politika hedatzeak Hub eta Spoke-ren artean IP konexioa egotea eskatzen du. Kasu honetan, MC funtzioa, behar izanez gero, DMVPN bideratzaile batekin konbina daiteke. Posible da (baina ez da beharrezkoa) Prime Infrastructure txantiloiak erabiltzea politika zentralizatuak sortzeko. Ezaugarri garrantzitsu bat da politika mundu osoan era berean eratzen dela sare osoan - Ez dira onartzen segmentu indibidualentzako politika indibidualak.
  • SD WAN – Trafikoaren kudeaketa eta zerbitzuen kalitatearen politikak Cisco vManage interfaze grafikoaren bidez zehazten dira zentralki, Internet bidez ere eskuragarri (beharrezkoa bada). Seinale-kanalen bidez banatzen dira zuzenean edo zeharka vSmart kontrolagailuen bidez (politika motaren arabera). Ez dira bideratzaileen arteko datu-planoaren konektibitatearen araberakoak, zeren erabili erabilgarri dauden trafiko-bide guztiak kontrolagailuaren eta bideratzailearen artean.

    Sare-segmentu desberdinetarako, politika desberdinak malgutasunez formulatu daitezke - politikaren esparrua irtenbidean emandako identifikatzaile esklusibo askok zehazten dute - adar-zenbakia, aplikazio mota, trafikoaren norabidea, etab.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Orkestrazio-hegazkina – osagaiak dinamikoki elkar detektatzeko, ondorengo elkarrekintzak konfiguratzeko eta koordinatzeko aukera ematen duten mekanismoak.

  • Π² DMVPN/PfR Bideratzaileen arteko elkarrekiko aurkikuntza Hub gailuen konfigurazio estatikoan eta Spoke gailuen konfigurazioan oinarritzen da. Aurkikuntza dinamikoa Spokerentzat bakarrik gertatzen da, honek bere Hub konexio-parametroen berri ematen dion gailuari, eta, aldi berean, Spoke-rekin aurrez konfiguratuta dago. Spoke eta gutxienez Hub baten arteko IP konexiorik gabe, ezinezkoa da datu-plano bat edo kontrol-plano bat osatzea.
  • Π² SD WAN soluzio-osagaien orkestrazioa vBond kontrolagailua erabiliz gertatzen da, eta osagai bakoitzak (bideratzaileak eta vManage/vSmart kontrolagailuak) lehenik IP konexioa ezarri behar du.

    Hasieran, osagaiek ez dakite elkarren konexio-parametroei buruz; horretarako, vBond bitarteko orkestratzailea behar dute. Printzipio orokorra honakoa da: hasierako faseko osagai bakoitzak vBond-erako konexio-parametroei buruz bakarrik ikasten du (automatikoki edo estatikoki), gero vBond-ek bideratzaileari vManage eta vSmart kontroladoreei buruz (lehen aurkitutakoak) jakinarazten dio, eta horrek automatikoki ezartzea posible egiten du. beharrezko seinaleztapen-konexio guztiak.

    Hurrengo urratsa bideratzaile berriak sareko beste bideratzaileei buruz ikastea da, vSmart kontrolagailuarekin OMP komunikazioaren bidez. Horrela, bideratzaileak, hasiera batean sareko parametroei buruz ezer jakin gabe, gai da guztiz automatikoki detektatzeko eta kontrolagailuetara konektatzeko eta, ondoren, automatikoki detektatzeko eta beste bideratzaile batzuekin konexioa eratzeko ere. Kasu honetan, osagai guztien konexio-parametroak hasiera batean ezezagunak dira eta funtzionamenduan zehar alda daitezke.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Kudeaketa-planoa – kudeaketa eta monitorizazio zentralizatua eskaintzen duen irtenbidearen zati bat.

  • DMVPN/PfR – ez da kudeaketa-planoko irtenbide espezializaturik eskaintzen. Oinarrizko automatizaziorako eta monitorizaziorako, Cisco Prime Infrastructure bezalako produktuak erabil daitezke. Bideratzaile bakoitzak CLI komando-lerroaren bidez kontrolatzeko gaitasuna du. API bidez kanpoko sistemekin integratzea ez da ematen.
  • SD WAN – interakzio eta monitorizazio erregular guztiak zentralki egiten dira vManage kontrolagailuaren interfaze grafikoaren bidez. Irtenbidearen ezaugarri guztiak, salbuespenik gabe, konfiguratzeko erabilgarri daude vManage bidez, baita guztiz dokumentatutako REST API liburutegi baten bidez ere.

    vManage-ko SD-WAN sarearen ezarpen guztiak bi eraikuntza nagusitan biltzen dira: gailuen txantiloiak sortzea (Gailuaren txantiloia) eta sarearen funtzionamenduaren logika eta trafikoaren prozesamenduaren logika zehazten dituen politika sortzea. Aldi berean, vManagek, administratzaileak sortutako politika igortzen du, automatikoki hautatzen du zein aldaketa eta zein gailu/kontrolatzailetan egin behar diren, eta horrek soluzioaren eraginkortasuna eta eskalagarritasuna nabarmen handitzen du.

    vManage interfazearen bidez, Cisco SD-WAN soluzioaren konfigurazioa ez ezik, soluzioaren osagai guztien egoeraren jarraipen osoa ere badago, banakako tunelen eta hainbat aplikazioren erabilerari buruzko estatistiken egungo neurketen egungo egoerara arte. DPI azterketan oinarrituta.

    Elkarreragina zentralizatuta egon arren, osagai guztiek (kontrolagailuak eta bideratzaileak) CLI komando-lerro guztiz funtzionala ere badute, eta hori beharrezkoa da ezarpen-fasean edo larrialdi batean tokiko diagnostikoetarako. Modu arruntean (osagaien artean seinaleztapen-kanal bat badago) bideratzaileetan, komando-lerroa diagnostikorako bakarrik dago erabilgarri eta ez dago tokiko aldaketak egiteko, tokiko segurtasuna bermatzen duena eta sare horretan aldaketen iturri bakarra vManage da.

Segurtasun Integratua – Hemen, kanal irekietan transmititzen direnean erabiltzaileen datuak babesteaz ez ezik, aukeratutako teknologian oinarritutako WAN sarearen segurtasun orokorraz ere hitz egin behar dugu.

  • Π² DMVPN/PfR Erabiltzaileen datuak eta seinaleztapen-protokoloak enkriptatzea posible da. Bideratzaile-modelo jakin batzuk erabiltzean, trafikoa ikuskatzeko suebaki funtzioak, IPS/IDS ere eskuragarri daude. VRF erabiliz sukurtsalen sareak segmentatzea posible da. Posible da (faktore bakarreko) kontrol-protokoloak autentifikatzea.

    Kasu honetan, urruneko bideratzailea sareko elementu fidagarritzat hartzen da lehenespenez, hau da. Gailu indibidualen arrisku fisiko kasuak eta haietara baimenik gabe sartzeko aukera ez dira bere gain hartzen edo kontuan hartzen; ez dago soluzio-osagaien bi faktoreko autentifikaziorik, geografikoki banatutako sare baten kasuan. arrisku gehigarri nabarmenak izan ditzake.

  • Π² SD WAN DMVPNrekin analogia eginez, erabiltzailearen datuak enkriptatzeko gaitasuna eskaintzen da, baina sareko segurtasuna eta L3/VRF segmentazio funtzioak nabarmen hedatuta (suebakia, IPS/IDS, URL iragazketa, DNS iragazketa, AMP/TG, SASE, TLS/SSL proxy, etab.) d.). Aldi berean, enkriptazio-gakoen trukea modu eraginkorragoan egiten da vSmart kontrolagailuen bidez (zuzenean baino), segurtasun-ziurtagirietan oinarritutako DTLS/TLS enkriptazio bidez babestutako aurrez ezarritako seinaleztapen-kanalen bidez. Horrek truke horien segurtasuna bermatzen du eta irtenbidearen eskalagarritasun hobea bermatzen du sare bereko hamar mila gailuraino.

    Seinaleztapen-konexio guztiak (kontrolagailu-kontrolagailu, kontrolagailu-bideratzaile) ere babestuta daude DTLS/TLSn oinarrituta. Bideratzaileak segurtasun ziurtagiriak dituzte ekoizpenean zehar ordezkatzeko/luzatzeko aukerarekin. Bi faktoreko autentifikazioa bideratzaile/kontrolagailuak SD-WAN sare batean funtzionatzeko bi baldintza nahitaez eta aldi berean betez lortzen da:

    • Baliozko segurtasun-ziurtagiria
    • Osagai bakoitzaren administratzaileak baimendutako gailuen zerrenda "zurian" esplizitu eta kontzienteki sartzea.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

SD-WAN eta DMVPN/PfR arteko desberdintasun funtzionalak

Desberdintasun funtzionalak eztabaidatzera igaroz, kontuan izan behar da horietako asko arkitekturaren jarraipena direla - ez da sekretua soluzio baten arkitektura osatzerakoan garatzaileak azkenean lortu nahi dituzten gaitasunetatik abiatzen direla. Ikus ditzagun bi teknologien arteko desberdintasun esanguratsuenak.

AppQ (Application Quality) - negozio-aplikazioen trafikoaren transmisioaren kalitatea ziurtatzeko funtzioak

Kontuan izan diren teknologien funtsezko funtzioak erabiltzailearen esperientzia ahalik eta gehien hobetzera zuzenduta daude sare banatu batean negozio-kritikoak diren aplikazioak erabiltzean. Hau bereziki garrantzitsua da azpiegituraren zati bat ITak kontrolatzen ez duen edo datuen transferentzia arrakastatsua bermatzen ez duen baldintzetan.

DMVPNk berak ez ditu horrelako mekanismoak eskaintzen. DMVPN sare klasiko batean egin daitekeen onena irteerako trafikoa aplikazioaren arabera sailkatzea da eta WAN kanalera transmititzean lehentasuna ematea da. DMVPN tunelaren aukeraketa kasu honetan bere erabilgarritasunaren eta bideratze-protokoloen funtzionamenduaren emaitzaren arabera zehazten da. Aldi berean, bide/tunelaren amaierako egoera eta haren degradazio partziala posiblea ez dira kontuan hartzen sareko aplikazioetarako esanguratsuak diren neurketa gakoei dagokienez: atzerapena, atzerapenaren aldakuntza (jitter) eta galerak (% ). Zentzu honetan, DMVPN klasikoa SD-WANekin zuzenean alderatzeak AppQ arazoak konpontzeko zentzua galtzen du - DMVPNk ezin du arazo hau konpondu. Testuinguru honetan Cisco Performance Routing (PfR) teknologia gehitzen duzunean, egoera aldatzen da eta Cisco SD-WAN-ekin alderatzea esanguratsuagoa bihurtzen da.

Desberdintasunak eztabaidatu aurretik, hona hemen teknologiak nola antzekoak diren ikusteko. Beraz, bi teknologiak:

  • Ezarritako tunel bakoitzaren egoera dinamikoki ebaluatzeko aukera ematen duen mekanismo bat edukitzea zenbait metrikaren arabera - gutxienez, atzerapena, atzerapenaren aldakuntza eta pakete-galera (%).
  • Tresna multzo zehatz bat erabiltzea trafikoa kudeatzeko arauak (politikak) eratzeko, banatu eta aplikatzeko, tunelaren neurketa nagusien egoera neurtzearen emaitzak kontuan hartuta.
  • sailkatu aplikazioen trafikoa OSI ereduaren L3-L4 (DSCP) mailetan edo bideratzailean integratutako DPI mekanismoetan oinarritutako L7 aplikazioen sinaduraren arabera.
  • Aplikazio esanguratsuetarako, neurgailuen atalase-balio onargarriak, lehenespenez trafikoa transmititzeko arauak eta atalase-balioak gainditzen direnean trafikoa birbideratzeko arauak zehazteko aukera ematen dute.
  • Trafikoa GRE/IPSec-en kapsulatzean, dagoeneko ezarritako industria-mekanismoa erabiltzen dute barneko DSCP markak kanpoko GRE/IPSEC paketeen goiburura transferitzeko, eta horrek erakundearen eta telekomunikazio-operadorearen QoS politikak sinkronizatzeko aukera ematen du (SLA egokia badago). .

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Nola desberdintzen dira SD-WAN eta DMVPN/PfR amaierako neurketak?

DMVPN/PfR

  • Software-sentsore aktiboak eta pasiboak (Zundak) tunelaren osasun-neurri estandarrak ebaluatzeko erabiltzen dira. Aktiboak erabiltzaileen trafikoan oinarritzen dira, pasiboek trafiko hori emulatzen dute (haren ezean).
  • Ez dago tenporizadoreen eta degradazioa detektatzeko baldintzen doikuntza zehatzik - algoritmoa konponduta dago.
  • Gainera, erabilitako banda-zabalera irteerako norabidean neurtzeko aukera dago. Horrek trafikoa kudeatzeko malgutasun gehigarria gehitzen dio DMVPN/PfRri.
  • Aldi berean, PfR mekanismo batzuk, neurketak gainditzen direnean, TCA (Threshold Crossing Alert) mezu berezien bidezko feedback-seinalean oinarritzen dira, trafikoaren hartzailearengandik iturrira iritsi behar direnak, eta horrek bere gain hartzen du bere egoera. neurtutako kanalek gutxienez nahikoak izan behar dute TCA mezu horiek transmititzeko. Kasu gehienetan ez da arazo bat, baina, jakina, ezin da bermatu.

SD WAN

  • Tunelaren egoera estandarraren neurketa muturreko ebaluazioa egiteko, BFD protokoloa erabiltzen da oihartzun moduan. Kasu honetan, ez da beharrezkoa TCA edo antzeko mezuen bidezko iritzi bereziak - hutsegiteen domeinuen isolamendua mantentzen da. Tunelaren egoera ebaluatzeko ere ez du erabiltzaileen trafikoaren presentzia behar.
  • Posible da BFD tenporizadoreak doitzea, algoritmoaren erantzun-abiadura eta komunikazio-kanalaren degradazioarekiko sentikortasuna segundo batzuetatik minutu batzuetara erregulatzeko.

    Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

  • Idazketa idazteko momentuan, BFD saio bakarra dago tunel bakoitzean. Horrek potentzialki granulartasun gutxiago sortzen du tunelaren egoeraren analisian. Egia esan, hau muga bihurtu daiteke MPLS L2/L3 VPN-n oinarritutako WAN konexio bat erabiltzen baduzu QoS SLA adostuarekin - BFD trafikoaren DSCP marka (IPSec/GRE-n kapsulatu ondoren) lehentasun handiko ilararekin bat badator. telekomunikazio-operadorearen sarean, horrek lehentasun baxuko trafikoan degradazioa hautemateko zehaztasuna eta abiadura eragin dezake. Aldi berean, posible da BFD etiketa lehenetsia aldatzea, horrelako egoerak izateko arriskua murrizteko. Cisco SD-WAN softwarearen etorkizuneko bertsioetan, BFD ezarpen zehatzagoak espero dira, baita tunel berean BFD saio anitz abiarazteko aukera DSCP balio indibidualekin (aplikazio ezberdinetarako).
  • BFD-k, gainera, tunel jakin batean zatitu gabe transmititu daitekeen pakete-tamaina maximoa kalkulatzeko aukera ematen du. Honi esker, SD-WANek MTU eta TCP MSS Adjust bezalako parametroak dinamikoki doi ditzake esteka bakoitzean eskuragarri dagoen banda-zabalera aprobetxatzeko.
  • SD-WAN-en, telekomunikazio-operadoreen QoS sinkronizatzeko aukera ere eskuragarri dago, L3 DSCP eremuetan oinarrituta ez ezik, L2 CoS balioetan ere oinarrituta, gailu espezializatuek sukurtsalen sarean automatikoki sor ditzaketenak, adibidez, IP. telefonoak

Nola desberdinak dira AppQ politikak definitzeko eta aplikatzeko gaitasunak, metodoak?

DMVPN/PfR politikak:

  • Adar zentraleko bideratzaileetan definituta dago CLI komando-lerroaren edo CLI konfigurazio txantiloien bidez. CLI txantiloiak sortzeak politikaren sintaxia prestatzea eta ezagutzea eskatzen du.

    Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

  • Mundu mailan definitua Banakako sare-segmentuen eskakizunak konfiguratzeko/aldatzeko aukerarik gabe.
  • Politika interaktiboak sortzea ez da interfaze grafikoan eskaintzen.
  • Aldaketen, herentziaren jarraipena eta aldatzeko gidalerroen hainbat bertsio sortzea ez dira ematen.
  • Automatikoki banatzen da urruneko adarretako bideratzaileetara. Kasu honetan, erabiltzailearen datuak transmititzeko erabiltzen diren komunikazio-kanal berdinak erabiltzen dira. Adar zentralaren eta urruneko arteko komunikazio kanalik ez badago, politikak banatzea/aldaketa ezinezkoa da.
  • Bideratzaile bakoitzean erabiltzen dira eta, behar izanez gero, bideratze-protokolo estandarren emaitza aldatzen dute, lehentasun handiagoa dutelarik.
  • WAN esteka adar guztiek trafiko-galera nabarmena duten kasuetarako, ez dago konpentsazio-mekanismorik.

SD-WAN politikak:

  • vManage GUI-n definituta dago txantiloi-morroi interaktiboaren bidez.
  • Politika anitz sortzea, kopiatzea, heredatzea, politikak denbora errealean aldatzea onartzen du.
  • Banakako politika ezarpenak onartzen ditu sare-segmentu desberdinetarako (adar)
  • Kontrolagailuaren eta bideratzailearen eta/edo vSmart-en artean erabilgarri dagoen edozein seinale-kanal erabiliz banatzen dira; ez daude zuzenean bideratzaileen arteko datu-planoaren konexioaren araberakoak. Honek, noski, router beraren eta kontrolagailuen arteko IP konexioa behar du.

    Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

  • Adar baten eskuragarri dauden adar guztiek aplikazio kritikoetarako atalase onargarriak gainditzen dituzten datu-galera handiak jasaten dituzten kasuetarako, posible da transmisioaren fidagarritasuna areagotzen duten mekanismo osagarriak erabiltzea:
    • FEC (Aurrerantz akatsen zuzenketa) – kodeketa-algoritmo erredundante berezi bat erabiltzen du. Galera portzentaje handia duten kanaletan trafiko kritikoa transmititzean, FEC automatikoki aktiba daiteke eta, beharrezkoa izanez gero, galdutako datuen zatia berreskuratzeko aukera ematen du. Horrek zertxobait handitzen du erabilitako transmisio-banda-zabalera, baina fidagarritasuna nabarmen hobetzen du.

      Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

    • Datu-korronteak bikoiztea – FECaz gain, politikak aukeratutako aplikazioen trafikoa automatikoki bikoiztu dezake, FECek konpentsatu ezin dituen galera-maila are larriagoa izanez gero. Kasu honetan, hautatutako datuak tunel guztietatik helaraziko dira adar hartzailerantz, gero desbikoiztuarekin (paketeen kopia gehigarriak botaz). Mekanismoak kanalaren erabilera nabarmen handitzen du, baina transmisioaren fidagarritasuna ere nabarmen handitzen du.

Cisco SD-WAN gaitasunak, analogiko zuzenik gabe DMVPN/PfR-n

Cisco SD-WAN irtenbidearen arkitekturak zenbait kasutan DMVPN/PfR barruan inplementatzeko oso zailak diren gaitasunak lortzeko aukera ematen du, edo beharrezkoak diren eskulan-kostuak direla-eta ezinezkoak diren edo guztiz ezinezkoak direnak. Ikus ditzagun interesgarrienak:

Trafiko-Ingeniaritza (TE)

TEk trafikoa bideratze-protokoloek osatutako bide estandarretik adarkatzea ahalbidetzen duten mekanismoak biltzen ditu. TE sarritan erabiltzen da sareko zerbitzuen erabilgarritasun handia bermatzeko, trafiko kritikoa bizkor eta/edo proaktiboki transmisio bide alternatibo batera transferitzeko gaitasunaren bidez, hutsegite kasuan zerbitzuaren kalitate hobea edo berreskuratzeko abiadura bermatzeko. bide nagusian.

TE ezartzeko zailtasuna aldez aurretik bide alternatibo bat kalkulatu eta erreserbatu (egiaztatu) beharran datza. Telekomunikazio-operadoreen MPLS sareetan, arazo hau MPLS Trafiko-Ingeniaritza bezalako teknologiak erabiliz konpontzen da IGP protokoloen eta RSVP protokoloen luzapenekin. Gainera, azkenaldian, Segment Routing teknologia, konfigurazio eta orkestrazio zentralizaturako optimizatuagoa dena, gero eta ezagunagoa izan da. WAN sare klasikoetan, teknologia hauek normalean ez daude ordezkatuta edo hop-by-hop mekanismoak erabiltzera murrizten dira, hala nola Policy-Based Routing (PBR), trafikoa adarkatzeko gai direnak, baina bideratzaile bakoitzean bereizita inplementatzen dutenak, hartu gabe. aurreko edo ondorengo urratsetan sarearen edo PBRren egoera orokorra kontuan hartuz. TE aukera hauek erabiltzearen emaitza etsigarria da - MPLS TE, konfigurazioaren eta funtzionamenduaren konplexutasunaren ondorioz, sarearen zati kritikoenean (nukleoan) bakarrik erabiltzen da, eta PBR banakako bideratzaileetan erabiltzen da. sare osorako PBR politika bateratua sortzeko gaitasuna. Jakina, hori DMVPNn oinarritutako sareei ere aplikatzen zaie.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Zentzu honetan, SD-WAN-ek askoz irtenbide dotoreagoa eskaintzen du, konfiguratzeko erraza ez ezik, askoz hobeto eskalatzen duena ere. Erabilitako kontrol-plano eta politika-plano arkitekturen emaitza da. SD-WAN-en politika-plano bat ezartzeak TE politika zentralki definitzeko aukera ematen du - zer trafiko da interesgarria? zein VPNtarako? Zein nodo/tunel bidez beharrezkoa da edo, alderantziz, debekatuta dago bide alternatibo bat osatzea? Aldi berean, vSmart kontrolagailuetan oinarritutako kontrol-planoen kudeaketa zentralizatzeak bideratze-emaitzak aldatzeko aukera ematen du gailu indibidualen ezarpenetara jo gabe - bideratzaileek jada vManage interfazean sortutako logikaren emaitza bakarrik ikusten dute eta erabiltzeko transferitua. vSmart.

Zerbitzu-kateatzea

Zerbitzu-kateak eratzea bideratze klasikoan dagoeneko deskribatutako Trafiko-Ingeniaritza mekanismoa baino lan-lan intentsiboagoa da. Izan ere, kasu honetan, beharrezkoa da sareko aplikazio zehatz baterako ibilbide berezi bat sortzeaz gain, SD-WAN sareko nodo jakin batzuetan (edo guztietan) saretik trafikoa kentzeko gaitasuna bermatzea ere prozesatzeko. aplikazio edo zerbitzu berezi bat (Firewall, Balancing, Caching, Inspection trafikoa, etab.). Aldi berean, beharrezkoa da kanpoko zerbitzu horien egoera kontrolatu ahal izatea, zulo beltzaren egoerak saihesteko, eta mota bereko kanpoko zerbitzu horiek geo-kokapen desberdinetan jartzea ahalbidetuko duten mekanismoak ere behar dira. sareak adar jakin baten trafikoa prozesatzeko zerbitzu-nodorik onena automatikoki hautatzeko duen gaitasunarekin. Cisco SD-WAN-en kasuan, hori nahiko erraza da lortzea xede-zerbitzu-katearen alderdi guztiak osotasun bakarrean "kolatzen" dituen politika zentralizatu egoki bat sortuz eta automatikoki datu-planoa eta kontrol-planoaren logika aldatzen dituena non bakarrik. eta beharrezkoa denean.

Cisco SD-WAN moztuko al du DMVPN esertzen den adarra?

Aukeratutako aplikazio-moten trafikoaren prozesamendu geo-banatua sortzeko gaitasuna ekipo espezializatuetan (baina SD-WAN sarearekin lotuta ez dagoena) sekuentzia jakin batean Cisco SD-WAN klasikoaren aurrean dituen abantailen erakusgarri argiena da agian. teknologiak eta baita beste fabrikatzaile batzuen SD irtenbide alternatibo batzuk ere.

Emaitza?

Jakina, bai DMVPN (Errendimendu-bideraketarekin edo gabe) bai Cisco SD-WAN azkenean oso antzeko arazoak konpontzen erakundearen WAN sare banatuari dagokionez. Aldi berean, Cisco SD-WAN teknologiaren desberdintasun arkitektoniko eta funtzional esanguratsuek arazo hauek konpontzeko prozesua eragiten dute. beste kalitate maila batera. Laburbilduz, SD-WAN eta DMVPN/PfR teknologien arteko desberdintasun esanguratsu hauek nabarmendu ditzakegu:

  • DMVPN/PfR-k, oro har, denboran probatutako teknologiak erabiltzen ditu gainjarritako VPN sareak eraikitzeko eta, datu-planoari dagokionez, SD-WAN teknologia modernoagoaren antzekoak dira, hala ere, muga batzuk daude derrigorrezko konfigurazio estatiko baten moduan. bideratzaileen eta topologien aukeraketa Hub-n-Spoke-ra mugatzen da. Bestalde, DMVPN/PfR-k SD-WANen barruan oraindik erabilgarri ez dagoen funtzionalitate batzuk ditu (aplikazio bakoitzeko BFDri buruz ari gara).
  • Kontrol-planoaren barruan, teknologiak desberdinak dira funtsean. Seinaleztapen-protokoloen prozesamendu zentralizatua kontuan hartuta, SD-WANek, batez ere, hutsegite-domeinuak nabarmen murriztea eta erabiltzailearen trafikoa seinaleztatzeko elkarrekintzatik transmititzeko prozesua "desakoplatzea" ahalbidetzen du - kontrolagailuen aldi baterako erabilgarritasunak ez du eragiten erabiltzaileen trafikoa transmititzeko gaitasunari. . Aldi berean, edozein adarren (zentralaren barne) aldi baterako erabilgarri ez egoteak ez du inola ere eragiten beste adar batzuen eta kontrolatzaileen artean elkarreragiteko gaitasunari.
  • SD-WANen kasuan trafikoa kudeatzeko politikak eratzeko eta aplikatzeko arkitektura ere DMVPN/PfR-n baino handiagoa da - geo-erreserba askoz hobeto inplementatzen da, ez dago Hub-arekin konexiorik, aukera gehiago dago isunetarako. -tuning politikak, inplementatutako trafikoa kudeatzeko eszenatokien zerrenda ere askoz handiagoa da.
  • Konponbidea orkestratzeko prozesua ere nabarmen ezberdina da. DMVPNk konfigurazioan nolabait islatu behar diren aldez aurretik ezagutzen diren parametroen presentzia hartzen du, eta horrek zertxobait mugatzen du soluzioaren malgutasuna eta aldaketa dinamikoak egiteko aukera. Aldi berean, SD-WAN konexioaren hasierako momentuan bideratzaileak "ez dakiela ezer" bere kontroladoreei buruz, baina "nori galdetu diezaiokezun" dakiela, nahikoa da, ez bakarrik automatikoki komunikazioa ezartzeko. kontrolagailuak, baina baita guztiz konektatutako datu-planoko topologia automatikoki osatzea ere, gero politikak erabiliz malgutasunez konfiguratu/aldatu ahal izateko.
  • Kudeaketa zentralizatua, automatizazioa eta monitorizazioari dagokionez, SD-WANek DMVPN/PfR-en gaitasunak gainditzea espero da, teknologia klasikoetatik eboluzionatu eta CLI komando-lerroan eta txantiloietan oinarritutako NMS sistemen erabileran oinarritzen direnak.
  • SD-WAN-en, DMVPNrekin alderatuta, segurtasun-baldintzak beste maila kualitatibo batera iritsi dira. Printzipio nagusiak zero konfiantza, eskalagarritasuna eta bi faktoreko autentifikazioa dira.

Ondorio soil hauek DMVPN/PfRn oinarritutako sare bat sortzeak gaur egun garrantzi guztia galdu duela iruditu dezakete. Hau, noski, ez da guztiz egia. Esate baterako, sareak ekipamendu zaharkitu asko erabiltzen dituen eta hura ordezkatzeko modurik ez dagoen kasuetan, DMVPNk gailu "zaharra" eta "berria" konbinatu ahal izango du geobanatutako sare bakarrean deskribatutako abantaila askorekin. goian.

Bestalde, gogoratu behar da IOS XEn oinarritutako egungo Cisco bideratzaile korporatibo guztiek (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) gaur egun edozein modu operatibo onartzen dutela - bideratze klasikoa zein DMVPN eta SD-WAN - aukera unean uneko beharren arabera zehazten da eta edozein unetan, ekipamendu bera erabiliz, teknologia aurreratuagorantz egiten has zaitezkeela ulertzeak.

Iturria: www.habr.com

Gehitu iruzkin berria