ProHoster > وبلاگ > اداره > آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

از آگوست 2017، زمانی که سیسکو Viptela را خریداری کرد، فناوری اصلی ارائه شده برای سازماندهی شبکه های سازمانی توزیع شده تبدیل شده است. سیسکو SD-WAN. در طول 3 سال گذشته، فناوری SD-WAN تغییرات زیادی را از نظر کیفی و کمی پشت سر گذاشته است. بنابراین، عملکرد به طور قابل توجهی گسترش یافته و پشتیبانی در روترهای کلاسیک سری ظاهر شده است Cisco ISR 1000، ISR 4000، ASR 1000 و Virtual CSR 1000v. در همان زمان، بسیاری از مشتریان و شرکای سیسکو همچنان به این فکر می کنند: چه تفاوت هایی بین Cisco SD-WAN و رویکردهای آشنای قبلی مبتنی بر فناوری هایی مانند سیسکو DMVPN и مسیریابی عملکرد سیسکو و این تفاوت ها چقدر مهم هستند؟

در اینجا باید فوراً رزرو کنیم که قبل از ظهور SD-WAN در مجموعه سیسکو، DMVPN همراه با PfR بخش کلیدی در معماری را تشکیل می دادند. Cisco IWAN (WAN هوشمند)، که به نوبه خود سلف فناوری تمام عیار SD-WAN بود. با وجود شباهت کلی وظایف حل شده و روش های حل آنها، IWAN هرگز سطح اتوماسیون، انعطاف پذیری و مقیاس پذیری لازم برای SD-WAN را دریافت نکرد و با گذشت زمان، توسعه IWAN به میزان قابل توجهی کاهش یافته است. در عین حال، فناوری‌هایی که IWAN را تشکیل می‌دهند از بین نرفته‌اند و بسیاری از مشتریان همچنان با موفقیت از آنها استفاده می‌کنند، از جمله در تجهیزات مدرن. در نتیجه، وضعیت جالبی ایجاد شده است - همان تجهیزات سیسکو به شما امکان می دهد تا مناسب ترین فناوری WAN (کلاسیک، DMVPN+PfR یا SD-WAN) را مطابق با الزامات و انتظارات مشتریان انتخاب کنید.

این مقاله قصد ندارد تمام ویژگی های فناوری های Cisco SD-WAN و DMVPN (با یا بدون مسیریابی عملکرد) را با جزئیات تجزیه و تحلیل کند - تعداد زیادی اسناد و مواد موجود برای این کار وجود دارد. وظیفه اصلی این است که سعی کنیم تفاوت های کلیدی بین این فناوری ها را ارزیابی کنیم. اما قبل از اینکه به بحث در مورد این تفاوت ها بپردازیم، اجازه دهید به طور خلاصه خود فناوری ها را یادآوری کنیم.

Cisco DMVPN چیست و چرا به آن نیاز است؟

Cisco DMVPN مشکل اتصال پویا (= مقیاس پذیر) یک شبکه شعبه راه دور به شبکه دفتر مرکزی یک شرکت را هنگام استفاده از انواع دلخواه کانال های ارتباطی از جمله اینترنت (= با رمزگذاری کانال ارتباطی) حل می کند. از نظر فنی، این امر با ایجاد یک شبکه همپوشانی مجازی از کلاس L3 VPN در حالت نقطه به چند نقطه با توپولوژی منطقی از نوع "ستاره" (Hub-n-Spoke) محقق می شود. برای رسیدن به این هدف، DMVPN از ترکیبی از فناوری های زیر استفاده می کند:

  • مسیریابی IP
  • تونل های چند نقطه ای GRE (mGRE)
  • پروتکل بعدی Hop Resolution (NHRP)
  • پروفایل های IPSec Crypto

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

مزایای اصلی Cisco DMVPN در مقایسه با مسیریابی کلاسیک با استفاده از کانال های MPLS VPN چیست؟

  • برای ایجاد یک شبکه بین شاخه ای، می توان از هر کانال ارتباطی استفاده کرد - هر چیزی که بتواند اتصال IP بین شعب را فراهم کند مناسب است، در حالی که ترافیک رمزگذاری شده (در صورت لزوم) و متعادل (در صورت امکان) خواهد بود.
  • یک توپولوژی کاملاً متصل بین شاخه ها به طور خودکار تشکیل می شود. در عین حال، تونل های ایستا بین شاخه های مرکزی و راه دور و تونل های پویا در صورت تقاضا بین شاخه های راه دور (در صورت وجود ترافیک) وجود دارد.
  • روترهای شاخه مرکزی و راه دور تا آدرس IP رابط ها دارای پیکربندی یکسانی هستند. با استفاده از mGRE، نیازی به پیکربندی جداگانه ده ها، صدها یا حتی هزاران تونل نیست. در نتیجه مقیاس پذیری مناسب با طراحی مناسب.

Cisco Performance Routing چیست و چرا به آن نیاز است؟

هنگام استفاده از DMVPN در یک شبکه بین شاخه ای، یک سوال بسیار مهم حل نشده باقی می ماند - چگونه می توان وضعیت هر یک از تونل های DMVPN را به صورت پویا برای انطباق با الزامات ترافیک حیاتی برای سازمان ما ارزیابی کرد و دوباره بر اساس چنین ارزیابی، به صورت پویا تصمیمی در مورد تغییر مسیر واقعیت این است که DMVPN در این بخش کمی با مسیریابی کلاسیک تفاوت دارد - بهترین کاری که می توان انجام داد پیکربندی مکانیسم های QoS است که به شما امکان می دهد ترافیک را در جهت خروجی اولویت بندی کنید، اما به هیچ وجه قادر به در نظر گرفتن وضعیت نیست. کل مسیر در یک زمان یا زمان دیگر

و اگر کانال به طور جزئی و نه به طور کامل تخریب شود چه باید کرد - چگونه می توان این را شناسایی و ارزیابی کرد؟ خود DMVPN نمی تواند این کار را انجام دهد. با توجه به اینکه کانال های اتصال شاخه ها می توانند از طریق اپراتورهای مخابراتی کاملاً متفاوت عبور کنند، با استفاده از فناوری های کاملاً متفاوت، این کار بسیار بی اهمیت می شود. و اینجاست که فناوری Cisco Performance Routing به کمک می آید، که تا آن زمان چندین مرحله توسعه را پشت سر گذاشته بود.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

وظیفه Cisco Performance Routing (از این پس PfR) به اندازه گیری وضعیت مسیرها (تونل ها) ترافیک بر اساس معیارهای کلیدی مهم برای برنامه های شبکه خلاصه می شود - تأخیر، تغییرات تأخیر (جیتر) و از دست دادن بسته (درصد). علاوه بر این، پهنای باند مورد استفاده را می توان اندازه گیری کرد. این اندازه‌گیری‌ها تا حد امکان نزدیک به زمان واقعی و به‌طور موجه انجام می‌شوند و نتیجه این اندازه‌گیری‌ها به روتر با استفاده از PfR اجازه می‌دهد تا به صورت پویا درباره نیاز به تغییر مسیریابی این یا آن نوع ترافیک تصمیم‌گیری کند.

بنابراین، وظیفه ترکیب DMVPN/PfR را می توان به طور خلاصه به شرح زیر توصیف کرد:

  • به مشتری اجازه دهید از هر کانال ارتباطی در شبکه WAN استفاده کند
  • از بالاترین کیفیت ممکن برنامه های کاربردی مهم در این کانال ها اطمینان حاصل کنید

Cisco SD-WAN چیست؟

Cisco SD-WAN فناوری است که از رویکرد SDN برای ایجاد و راه اندازی شبکه WAN یک سازمان استفاده می کند. این به طور خاص به معنای استفاده از به اصطلاح کنترل کننده ها (عناصر نرم افزاری) است که هماهنگی متمرکز و پیکربندی خودکار تمام اجزای راه حل را ارائه می دهند. بر خلاف SDN متعارف (سبک Clean Slate)، Cisco SD-WAN از چندین نوع کنترلر استفاده می کند، که هر کدام نقش خود را انجام می دهند - این به عمد انجام شد تا مقیاس پذیری و افزونگی جغرافیایی بهتری ارائه دهد.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

در مورد SD-WAN، وظیفه استفاده از هر نوع کانال و حصول اطمینان از عملکرد برنامه های تجاری یکسان است، اما در عین حال، الزامات برای اتوماسیون، مقیاس پذیری، امنیت و انعطاف پذیری چنین شبکه ای گسترش می یابد.

بحث در مورد تفاوت ها

اگر اکنون شروع به تجزیه و تحلیل تفاوت های بین این فناوری ها کنیم، آنها در یکی از دسته های زیر قرار می گیرند:

  • تفاوت‌های معماری - عملکردها چگونه در اجزای مختلف راه‌حل توزیع می‌شوند، تعامل چنین اجزایی چگونه سازماندهی می‌شود و این چگونه بر قابلیت‌ها و انعطاف‌پذیری فناوری تأثیر می‌گذارد؟
  • کارکرد - یک فناوری چه کاری می تواند انجام دهد که دیگری نمی تواند؟ و آیا واقعاً اینقدر مهم است؟

تفاوت های معماری چیست و آیا مهم هستند؟

هر یک از این فناوری ها دارای "قطعات متحرک" بسیاری هستند که نه تنها در نقش خود، بلکه در نحوه تعامل آنها با یکدیگر نیز متفاوت است. این اصول چقدر خوب فکر شده اند و مکانیک کلی راه حل مستقیماً مقیاس پذیری، تحمل خطا و کارایی کلی آن را تعیین می کند.

بیایید به جنبه های مختلف معماری با جزئیات بیشتری نگاه کنیم:

صفحه داده - بخشی از راه حل مسئول انتقال ترافیک کاربر بین منبع و گیرنده. DMVPN و SD-WAN به طور کلی بر روی خود روترها بر اساس تونل های چند نقطه ای GRE به طور یکسان پیاده سازی می شوند. تفاوت این است که چگونه مجموعه پارامترهای لازم برای این تونل ها تشکیل می شود:

  • в DMVPN/PfR یک سلسله مراتب منحصراً دو سطحی از گره ها با توپولوژی Star یا Hub-n-Spoke است. پیکربندی استاتیک Hub و اتصال استاتیک Spoke به Hub و همچنین تعامل از طریق پروتکل NHRP برای ایجاد اتصال صفحه داده مورد نیاز است. در نتیجه، ایجاد تغییرات در هاب به طور قابل توجهی دشوارتر استبرای مثال، مربوط به تغییر/اتصال کانال‌های WAN جدید یا تغییر پارامترهای کانال‌های موجود است.
  • в SD WAN یک مدل کاملا پویا برای تشخیص پارامترهای تونل های نصب شده بر اساس صفحه کنترل (پروتکل OMP) و صفحه ارکستراسیون (تعامل با کنترلر vBond برای تشخیص کنترلر و وظایف پیمایش NAT). در این مورد، هر توپولوژی روی هم قرار داده شده را می توان استفاده کرد، از جمله موارد سلسله مراتبی. در داخل توپولوژی تونل همپوشانی ایجاد شده، پیکربندی انعطاف پذیر توپولوژی منطقی در هر VPN (VRF) منفرد امکان پذیر است.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

کنترل هواپیما - عملکردهای تبادل، فیلتر کردن و اصلاح مسیریابی و سایر اطلاعات بین اجزای راه حل.

  • в DMVPN/PfR - فقط بین روتر Hub و Spoke انجام می شود. تبادل مستقیم اطلاعات مسیریابی بین Spokes امکان پذیر نیست. در نتیجه، بدون هاب فعال، صفحه کنترل و صفحه داده نمی توانند کار کنند، که الزامات دسترسی زیاد اضافی را به هاب تحمیل می کند که همیشه نمی توان آنها را برآورده کرد.
  • в SD WAN - صفحه کنترل هرگز مستقیماً بین روترها انجام نمی شود - تعامل بر اساس پروتکل OMP رخ می دهد و لزوماً از طریق یک نوع تخصصی جداگانه از کنترلر vSmart انجام می شود که امکان تعادل، رزرو جغرافیایی و کنترل متمرکز را فراهم می کند. بار سیگنال یکی دیگر از ویژگی های پروتکل OMP مقاومت قابل توجه آن در برابر تلفات و عدم وابستگی به سرعت کانال ارتباطی با کنترلرها (البته در محدوده معقول) است. که به همان اندازه با موفقیت به شما امکان می دهد کنترل کننده های SD-WAN را در ابرهای عمومی یا خصوصی با دسترسی از طریق اینترنت قرار دهید.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

خط مشی - بخشی از راه حل مسئول تعریف، توزیع و اعمال سیاست های مدیریت ترافیک در یک شبکه توزیع شده است.

  • DMVPN - به طور موثر توسط خط مشی های کیفیت خدمات (QoS) که به صورت جداگانه بر روی هر روتر از طریق الگوهای CLI یا Prime Infrastructure پیکربندی شده اند، محدود می شود.
  • DMVPN/PfR - خط‌مشی‌های PfR روی روتر متمرکز Master Controller (MC) از طریق CLI شکل می‌گیرند و سپس به‌طور خودکار در شعبه‌های MC توزیع می‌شوند. در این مورد، از همان مسیرهای انتقال خط مشی برای صفحه داده استفاده می شود. هیچ امکانی برای جداسازی تبادل سیاست ها، اطلاعات مسیریابی و داده های کاربر وجود ندارد. انتشار خط مشی مستلزم وجود اتصال IP بین Hub و Spoke است. در این حالت، عملکرد MC می تواند در صورت لزوم با یک روتر DMVPN ترکیب شود. استفاده از الگوهای Prime Infrastructure برای تولید سیاست متمرکز امکان پذیر است (اما نه الزامی). یک ویژگی مهم این است که خط مشی در سراسر شبکه به همان شیوه شکل می گیرد - خط‌مشی‌های فردی برای بخش‌های جداگانه پشتیبانی نمی‌شوند.
  • SD WAN – سیاست‌های مدیریت ترافیک و کیفیت خدمات به‌طور مرکزی از طریق رابط گرافیکی Cisco vManage تعیین می‌شوند، همچنین از طریق اینترنت (در صورت لزوم) قابل دسترسی است. آنها از طریق کانال های سیگنالینگ به طور مستقیم یا غیر مستقیم از طریق کنترلرهای vSmart (بسته به نوع سیاست) توزیع می شوند. آنها به اتصال صفحه داده بین روترها وابسته نیستند، زیرا از تمام مسیرهای ترافیکی موجود بین کنترلر و روتر استفاده کنید.

    برای بخش‌های مختلف شبکه، تنظیم انعطاف‌پذیر خط‌مشی‌های مختلف امکان‌پذیر است - دامنه خط‌مشی توسط بسیاری از شناسه‌های منحصربه‌فرد ارائه شده در راه‌حل تعیین می‌شود - شماره شعبه، نوع برنامه، جهت ترافیک و غیره.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

ارکستراسیون - هواپیما - مکانیسم هایی که به اجزا اجازه می دهد به صورت پویا یکدیگر را شناسایی کرده، تعاملات بعدی را پیکربندی و هماهنگ کنند.

  • в DMVPN/PfR کشف متقابل بین روترها بر اساس پیکربندی استاتیک دستگاه‌های Hub و پیکربندی مربوطه دستگاه‌های Spoke است. کشف پویا فقط برای Spoke اتفاق می‌افتد، که پارامترهای اتصال Hub خود را به دستگاه گزارش می‌دهد که به نوبه خود با Spoke از قبل پیکربندی شده است. بدون اتصال IP بین Spoke و حداقل یک هاب، تشکیل یک صفحه داده یا یک صفحه کنترل غیرممکن است.
  • в SD WAN هماهنگ سازی اجزای راه حل با استفاده از کنترلر vBond انجام می شود، که هر جزء (روترها و کنترلرهای vManage/vSmart) ابتدا باید اتصال IP را برقرار کند.

    در ابتدا، اجزا از پارامترهای اتصال یکدیگر اطلاعی ندارند - برای این کار آنها به ارکستراتور واسطه vBond نیاز دارند. اصل کلی به شرح زیر است - هر مؤلفه در مرحله اولیه (به طور خودکار یا استاتیک) فقط در مورد پارامترهای اتصال به vBond یاد می گیرد، سپس vBond روتر را در مورد کنترلرهای vManage و vSmart (که قبلاً کشف شد) مطلع می کند، که امکان برقراری خودکار را فراهم می کند. تمام اتصالات سیگنالینگ لازم

    گام بعدی این است که روتر جدید از طریق ارتباط OMP با کنترلر vSmart با سایر روترهای شبکه آشنا شود. بنابراین، روتر، بدون اینکه در ابتدا چیزی در مورد پارامترهای شبکه بداند، قادر است به طور کامل به طور خودکار کنترلرها را شناسایی کرده و به کنترلرها متصل شود و سپس به طور خودکار شناسایی و با سایر روترها ارتباط برقرار کند. در این حالت، پارامترهای اتصال همه اجزا در ابتدا ناشناخته است و ممکن است در حین کار تغییر کند.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

مدیریت - هواپیما - بخشی از راه حلی که مدیریت و نظارت متمرکز را فراهم می کند.

  • DMVPN/PfR - هیچ راه حل تخصصی مدیریتی ارائه نشده است. برای اتوماسیون و نظارت اولیه می توان از محصولاتی مانند Cisco Prime Infrastructure استفاده کرد. هر روتر قابلیت کنترل از طریق خط فرمان CLI را دارد. ادغام با سیستم های خارجی از طریق API ارائه نشده است.
  • SD WAN - تمام تعاملات و نظارت های منظم به صورت مرکزی از طریق رابط گرافیکی کنترلر vManage انجام می شود. تمام ویژگی های راه حل، بدون استثنا، برای پیکربندی از طریق vManage و همچنین از طریق یک کتابخانه کاملاً مستند REST API در دسترس هستند.

    تمام تنظیمات شبکه SD-WAN در vManage به دو ساختار اصلی خلاصه می شود - تشکیل الگوهای دستگاه (Device Template) و تشکیل یک خط مشی که منطق عملکرد شبکه و پردازش ترافیک را تعیین می کند. در همان زمان، vManage، پخش خط مشی ایجاد شده توسط مدیر، به طور خودکار انتخاب می کند که کدام تغییرات و روی کدام دستگاه ها/کنترل کننده های فردی باید انجام شود، که کارایی و مقیاس پذیری راه حل را به طور قابل توجهی افزایش می دهد.

    از طریق رابط vManage، نه تنها پیکربندی راه حل Cisco SD-WAN در دسترس است، بلکه نظارت کامل بر وضعیت تمام اجزای راه حل، تا وضعیت فعلی معیارها برای تونل های جداگانه و آمار استفاده از برنامه های مختلف در دسترس است. بر اساس تحلیل DPI

    علیرغم متمرکز بودن تعامل، همه اجزا (کنترل کننده ها و روترها) همچنین دارای یک خط فرمان CLI کاملاً کاربردی هستند که در مرحله اجرا یا در مواقع اضطراری برای تشخیص محلی ضروری است. در حالت عادی (در صورت وجود کانال سیگنالینگ بین اجزا) روی روترها، خط فرمان فقط برای تشخیص در دسترس است و برای ایجاد تغییرات محلی در دسترس نیست، که امنیت محلی را تضمین می کند و تنها منبع تغییرات در چنین شبکه ای vManage است.

امنیت یکپارچه - در اینجا ما باید نه تنها در مورد محافظت از داده های کاربر هنگام انتقال از طریق کانال های باز، بلکه در مورد امنیت کلی شبکه WAN بر اساس فناوری انتخاب شده صحبت کنیم.

  • в DMVPN/PfR رمزگذاری داده های کاربر و پروتکل های سیگنالینگ امکان پذیر است. هنگام استفاده از مدل‌های روتر خاص، عملکردهای فایروال با بازرسی ترافیک، IPS/IDS نیز در دسترس هستند. تقسیم بندی شبکه های شعب با استفاده از VRF امکان پذیر است. احراز هویت پروتکل های کنترلی (تک عاملی) امکان پذیر است.

    در این مورد، روتر راه دور به طور پیش فرض یک عنصر قابل اعتماد شبکه در نظر گرفته می شود - یعنی. موارد به خطر افتادن فیزیکی دستگاه‌های جداگانه و امکان دسترسی غیرمجاز به آن‌ها فرض یا در نظر گرفته نمی‌شود؛ هیچ‌گونه احراز هویت دو عاملی اجزای راه‌حل وجود ندارد، که در مورد یک شبکه توزیع‌شده جغرافیایی ممکن است خطرات اضافی قابل توجهی را به همراه داشته باشد.

  • в SD WAN با قیاس با DMVPN، امکان رمزگذاری داده های کاربر فراهم می شود، اما با امنیت شبکه به طور قابل توجهی گسترش یافته و توابع تقسیم بندی L3/VRF (دیوار آتش، IPS/IDS، فیلتر URL، فیلتر DNS، AMP/TG، SASE، پروکسی TLS/SSL، و غیره) د.). در عین حال، مبادله کلیدهای رمزگذاری از طریق کنترل‌کننده‌های vSmart (و نه مستقیم)، از طریق کانال‌های سیگنال از پیش تعیین‌شده محافظت‌شده توسط رمزگذاری DTLS/TLS بر اساس گواهی‌های امنیتی، کارآمدتر انجام می‌شود. که به نوبه خود امنیت چنین مبادلاتی را تضمین می کند و مقیاس پذیری بهتر راه حل را تا ده ها هزار دستگاه در همان شبکه تضمین می کند.

    تمامی اتصالات سیگنالینگ (کنترل کننده به کنترلر، کنترلر-روتر) نیز بر اساس DTLS/TLS محافظت می شوند. روترها مجهز به گواهی ایمنی در حین تولید با امکان تعویض/توسعه هستند. احراز هویت دو مرحله ای از طریق انجام اجباری و همزمان دو شرط برای عملکرد روتر/کنترل کننده در یک شبکه SD-WAN به دست می آید:

    • گواهی امنیتی معتبر
    • درج صریح و آگاهانه توسط مدیر هر جزء در لیست "سفید" دستگاه های مجاز.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

تفاوت های عملکردی بین SD-WAN و DMVPN/PfR

با حرکت به بحث تفاوت های عملکردی، لازم به ذکر است که بسیاری از آنها ادامه موارد معماری هستند - این راز نیست که هنگام شکل گیری معماری یک راه حل، توسعه دهندگان از قابلیت هایی شروع می کنند که در پایان می خواهند به دست آورند. بیایید به مهم ترین تفاوت های بین این دو فناوری نگاه کنیم.

AppQ (کیفیت برنامه) - عملکردهایی برای اطمینان از کیفیت انتقال ترافیک برنامه های تجاری

عملکردهای کلیدی فناوری های مورد بررسی با هدف بهبود تجربه کاربر تا حد امکان هنگام استفاده از برنامه های کاربردی حیاتی تجاری در یک شبکه توزیع شده است. این امر به ویژه در شرایطی که بخشی از زیرساخت توسط فناوری اطلاعات کنترل نمی شود یا حتی انتقال موفقیت آمیز داده را تضمین نمی کند بسیار مهم است.

DMVPN خود چنین مکانیسم هایی را ارائه نمی دهد. بهترین کاری که می توان در یک شبکه کلاسیک DMVPN انجام داد، طبقه بندی ترافیک خروجی بر اساس برنامه و اولویت بندی آن هنگام انتقال به کانال WAN است. انتخاب یک تونل DMVPN در این مورد تنها با در دسترس بودن آن و نتیجه عملکرد پروتکل های مسیریابی تعیین می شود. در عین حال، وضعیت سرتاسر مسیر/تونل و تخریب جزئی احتمالی آن از نظر معیارهای کلیدی که برای برنامه‌های شبکه قابل توجه هستند - تاخیر، تغییرات تاخیر (جیتر) و تلفات (٪) در نظر گرفته نمی‌شوند. ). از این نظر، مقایسه مستقیم DMVPN کلاسیک با SD-WAN از نظر حل مشکلات AppQ معنای خود را از دست می دهد - DMVPN نمی تواند این مشکل را حل کند. وقتی فناوری Cisco Performance Routing (PfR) را به این زمینه اضافه می‌کنید، وضعیت تغییر می‌کند و مقایسه با Cisco SD-WAN معنادارتر می‌شود.

قبل از اینکه درباره تفاوت ها بحث کنیم، در اینجا نگاهی گذرا به نحوه مشابه بودن فناوری ها خواهیم داشت. بنابراین، هر دو فناوری:

  • مکانیزمی دارید که به شما امکان می دهد وضعیت هر تونل ایجاد شده را به صورت پویا از نظر معیارهای خاصی ارزیابی کنید - حداقل، تاخیر، تغییرات تاخیر و از دست دادن بسته (%)
  • از مجموعه خاصی از ابزارها برای تشکیل، توزیع و اعمال قوانین (سیاست‌ها) مدیریت ترافیک، با در نظر گرفتن نتایج اندازه‌گیری وضعیت معیارهای تونل کلیدی استفاده کنید.
  • طبقه بندی ترافیک برنامه در سطوح L3-L4 (DSCP) مدل OSI یا با امضاهای برنامه L7 بر اساس مکانیسم های DPI تعبیه شده در روتر
  • برای کاربردهای مهم، آنها به شما امکان می دهند مقادیر آستانه قابل قبول معیارها، قوانین انتقال ترافیک به طور پیش فرض و قوانینی برای تغییر مسیر ترافیک در صورت تجاوز از مقادیر آستانه تعیین کنید.
  • هنگام کپسوله‌سازی ترافیک در GRE/IPSec، آنها از مکانیزم صنعتی از قبل ایجاد شده برای انتقال نشانه‌های DSCP داخلی به سربرگ بسته GRE/IPSEC خارجی استفاده می‌کنند که امکان همگام‌سازی سیاست‌های QoS سازمان و اپراتور مخابراتی را فراهم می‌کند (در صورت وجود SLA مناسب). .

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

معیارهای پایان به انتها SD-WAN و DMVPN/PfR چگونه متفاوت هستند؟

DMVPN/PfR

  • هر دو سنسور نرم افزار فعال و غیر فعال (Probes) برای ارزیابی معیارهای استاندارد سلامت تونل استفاده می شوند. موارد فعال مبتنی بر ترافیک کاربر هستند، موارد غیرفعال از چنین ترافیکی (در صورت عدم وجود آن) تقلید می کنند.
  • هیچ تنظیم دقیق تایمرها و شرایط تشخیص تخریب وجود ندارد - الگوریتم ثابت است.
  • علاوه بر این، اندازه گیری پهنای باند استفاده شده در جهت خروجی در دسترس است. که انعطاف پذیری مدیریت ترافیک اضافی را به DMVPN/PfR اضافه می کند.
  • در عین حال، برخی از مکانیسم‌های PfR، زمانی که معیارها از حد فراتر می‌رود، بر سیگنال‌های بازخوردی در قالب پیام‌های ویژه TCA (هشدار عبور از آستانه) تکیه می‌کنند که باید از گیرنده ترافیک به سمت منبع ارسال شود، که به نوبه خود فرض می‌کند که وضعیت کانال های اندازه گیری شده باید حداقل برای انتقال چنین پیام های TCA کافی باشند. که در بیشتر موارد مشکلی نیست، اما بدیهی است که نمی توان آن را تضمین کرد.

SD WAN

  • برای ارزیابی سرتاسر معیارهای استاندارد حالت تونل، پروتکل BFD در حالت اکو استفاده می شود. در این مورد، بازخورد ویژه در قالب TCA یا پیام‌های مشابه مورد نیاز نیست - جداسازی دامنه‌های خرابی حفظ می‌شود. همچنین برای ارزیابی وضعیت تونل نیازی به حضور ترافیک کاربر نیست.
  • تنظیم دقیق تایمرهای BFD برای تنظیم سرعت پاسخ و حساسیت الگوریتم به کاهش کانال ارتباطی از چند ثانیه تا چند دقیقه امکان پذیر است.

    آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

  • در زمان نگارش مقاله، تنها یک جلسه BFD در هر تونل وجود دارد. این به طور بالقوه باعث ایجاد دانه بندی کمتری در تحلیل وضعیت تونل می شود. در واقعیت، اگر از یک اتصال WAN مبتنی بر MPLS L2/L3 VPN با QoS SLA توافق شده استفاده کنید، این می‌تواند به یک محدودیت تبدیل شود - اگر علامت‌گذاری DSCP ترافیک BFD (پس از کپسول‌سازی در IPSec/GRE) با صف با اولویت بالا مطابقت داشته باشد. شبکه اپراتور مخابراتی، پس این ممکن است بر دقت و سرعت تشخیص تخریب برای ترافیک با اولویت پایین تأثیر بگذارد. در عین حال، امکان تغییر برچسب گذاری پیش فرض BFD برای کاهش خطر چنین شرایطی وجود دارد. در نسخه‌های بعدی نرم‌افزار Cisco SD-WAN، تنظیمات دقیق‌تر BFD و همچنین امکان راه‌اندازی چندین جلسه BFD در یک تونل با مقادیر جداگانه DSCP (برای برنامه‌های مختلف) انتظار می‌رود.
  • BFD علاوه بر این به شما امکان می دهد حداکثر اندازه بسته را که می تواند از طریق یک تونل خاص بدون تکه تکه شدن منتقل شود، تخمین بزنید. این به SD-WAN اجازه می دهد تا به صورت پویا پارامترهایی مانند MTU و TCP MSS Adjust را تنظیم کند تا از پهنای باند موجود در هر پیوند حداکثر استفاده را ببرد.
  • در SD-WAN، گزینه همگام سازی QoS از اپراتورهای مخابراتی نیز در دسترس است، نه تنها بر اساس فیلدهای L3 DSCP، بلکه بر اساس مقادیر L2 CoS، که می تواند به طور خودکار در شبکه شعب توسط دستگاه های تخصصی - به عنوان مثال، IP ایجاد شود. گوشی ها

چگونه قابلیت ها، روش های تعریف و اعمال سیاست های AppQ متفاوت است؟

خط‌مشی‌های DMVPN/PfR:

  • در روتر(های) شاخه مرکزی از طریق خط فرمان CLI یا الگوهای پیکربندی CLI تعریف شده است. تولید الگوهای CLI نیاز به آماده سازی و دانش نحو سیاست دارد.

    آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

  • در سطح جهانی تعریف شده است بدون امکان پیکربندی/تغییر نیازهای هر بخش شبکه.
  • تولید سیاست تعاملی در رابط گرافیکی ارائه نشده است.
  • ردیابی تغییرات، وراثت، و ایجاد چندین نسخه از خط مشی ها برای تعویض سریع ارائه نشده است.
  • به طور خودکار در روترهای شاخه های راه دور توزیع می شود. در این مورد، از همان کانال های ارتباطی برای انتقال داده های کاربر استفاده می شود. اگر کانال ارتباطی بین شعبه مرکزی و راه دور وجود نداشته باشد، توزیع/تغییر خط‌مشی‌ها غیرممکن است.
  • آنها در هر روتر استفاده می شوند و در صورت لزوم، نتیجه پروتکل های مسیریابی استاندارد را با اولویت بالاتر تغییر می دهند.
  • برای مواردی که تمام پیوندهای WAN شعبه از دست دادن ترافیک قابل توجهی را تجربه می کنند، هیچ مکانیزم جبرانی ارائه نشده است.

خط‌مشی‌های SD-WAN:

  • در رابط کاربری گرافیکی vManage از طریق جادوگر الگوی تعاملی تعریف شده است.
  • پشتیبانی از ایجاد چندین خط مشی، کپی، ارث بردن، جابجایی بین خط مشی ها در زمان واقعی.
  • پشتیبانی از تنظیمات خط مشی فردی برای بخش های مختلف شبکه (شاخه ها)
  • آنها با استفاده از هر کانال سیگنال موجود بین کنترلر و روتر و/یا vSmart توزیع می شوند - مستقیماً به اتصال صفحه داده بین روترها بستگی ندارند. البته این نیاز به اتصال IP بین خود روتر و کنترلرها دارد.

    آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

  • برای مواردی که تمام شاخه‌های موجود یک شعبه تلفات قابل‌توجهی داده بیش از آستانه قابل قبول برای برنامه‌های حیاتی را تجربه می‌کنند، می‌توان از مکانیسم‌های اضافی برای افزایش قابلیت اطمینان انتقال استفاده کرد:
    • FEC (تصحیح خطای جلو) - از یک الگوریتم کدگذاری اضافی اضافی استفاده می کند. هنگام انتقال ترافیک بحرانی از طریق کانال هایی با درصد قابل توجهی از تلفات، FEC می تواند به طور خودکار فعال شود و در صورت لزوم امکان بازیابی بخش از دست رفته داده را فراهم می کند. این کمی پهنای باند انتقال استفاده شده را افزایش می دهد، اما قابلیت اطمینان را به طور قابل توجهی بهبود می بخشد.

      آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

    • تکراری شدن جریان های داده - علاوه بر FEC، این خط مشی می تواند تکرار خودکار ترافیک برنامه های کاربردی انتخاب شده را در صورت تلفات حتی جدی تر که توسط FEC جبران نمی شود، فراهم کند. در این حالت، داده‌های انتخاب‌شده از طریق تمام تونل‌ها به سمت شاخه دریافت‌کننده با حذف مجدد بعدی (افت کپی‌های اضافی از بسته‌ها) منتقل می‌شوند. این مکانیسم به طور قابل توجهی استفاده از کانال را افزایش می دهد، اما قابلیت اطمینان انتقال را نیز به طور قابل توجهی افزایش می دهد.

قابلیت های Cisco SD-WAN، بدون آنالوگ مستقیم در DMVPN/PfR

معماری راه حل Cisco SD-WAN در برخی موارد به شما امکان می دهد قابلیت هایی را بدست آورید که پیاده سازی آنها در داخل DMVPN/PfR بسیار دشوار است یا به دلیل هزینه های نیروی کار غیر عملی یا کاملاً غیرممکن است. بیایید به جالب ترین آنها نگاه کنیم:

مهندسی ترافیک (TE)

TE شامل مکانیسم‌هایی است که به ترافیک اجازه می‌دهد از مسیر استانداردی که توسط پروتکل‌های مسیریابی تشکیل شده است منشعب شود. TE اغلب برای اطمینان از دسترسی بالا به خدمات شبکه، از طریق توانایی انتقال سریع و/یا فعالانه ترافیک حیاتی به یک مسیر انتقال جایگزین (غیر مشترک)، به منظور اطمینان از کیفیت بهتر سرویس یا سرعت بازیابی در صورت خرابی استفاده می‌شود. در مسیر اصلی

مشکل در اجرای TE در نیاز به محاسبه و رزرو (بررسی) یک مسیر جایگزین از قبل است. در شبکه های MPLS اپراتورهای مخابراتی، این مشکل با استفاده از فناوری هایی مانند MPLS Traffic-Engineering با پسوند پروتکل های IGP و پروتکل RSVP حل می شود. همچنین اخیراً فناوری Segment Routing که برای پیکربندی متمرکز و ارکستراسیون بهینه شده است، به طور فزاینده ای محبوب شده است. در شبکه‌های WAN کلاسیک، این فناوری‌ها معمولاً نشان داده نمی‌شوند یا به استفاده از مکانیسم‌های hop-by-hop مانند مسیریابی مبتنی بر سیاست (PBR) کاهش می‌یابند، که قادر به انشعاب ترافیک هستند، اما این را به طور جداگانه بر روی هر روتر پیاده‌سازی می‌کنند - بدون استفاده از آن. وضعیت کلی شبکه یا نتیجه PBR را در مراحل قبلی یا بعدی در نظر بگیرید. نتیجه استفاده از این گزینه های TE ناامید کننده است - MPLS TE به دلیل پیچیدگی پیکربندی و عملکرد، به طور معمول، تنها در بحرانی ترین بخش شبکه (هسته) استفاده می شود و PBR در روترهای فردی بدون استفاده می شود. توانایی ایجاد یک خط مشی PBR یکپارچه برای کل شبکه. بدیهی است که این امر در مورد شبکه های مبتنی بر DMVPN نیز صدق می کند.

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

SD-WAN در این زمینه راه حل بسیار ظریف تری ارائه می دهد که نه تنها پیکربندی آن آسان است، بلکه مقیاس بسیار بهتری نیز دارد. این نتیجه از معماری های صفحه کنترل و صفحه سیاست استفاده شده است. پیاده سازی یک خط مشی در SD-WAN به شما امکان می دهد خط مشی TE را به صورت متمرکز تعریف کنید - چه ترافیکی مورد توجه است؟ برای کدام VPN ها؟ ایجاد مسیر جایگزین از طریق کدام گره ها/تونل ها ضروری یا برعکس ممنوع است؟ به نوبه خود، تمرکز مدیریت صفحه کنترل مبتنی بر کنترلرهای vSmart به شما امکان می دهد تا نتایج مسیریابی را بدون توسل به تنظیمات دستگاه های فردی تغییر دهید - روترها قبلاً فقط نتیجه منطقی را می بینند که در رابط vManage ایجاد شده و برای استفاده به آن منتقل شده است. vSmart.

خدمات زنجیره ای

تشکیل زنجیره‌های خدمات حتی در مسیریابی کلاسیک کار فشرده‌تری نسبت به مکانیزم مهندسی ترافیک است. در واقع، در این مورد، نه تنها ایجاد یک مسیر ویژه برای یک برنامه شبکه خاص، بلکه همچنین برای اطمینان از توانایی حذف ترافیک از شبکه در برخی (یا همه) گره‌های شبکه SD-WAN برای پردازش توسط شبکه ضروری است. یک برنامه یا سرویس ویژه (فایروال، تعادل، ذخیره سازی، ترافیک بازرسی و غیره). در عین حال، لازم است بتوان وضعیت این سرویس‌های خارجی را کنترل کرد تا از موقعیت‌های سیاه‌چاله جلوگیری کرد و مکانیسم‌هایی نیز مورد نیاز است که اجازه می‌دهد چنین سرویس‌های خارجی از همان نوع در موقعیت‌های جغرافیایی مختلف قرار گیرند. با قابلیت شبکه برای انتخاب خودکار بهینه ترین گره سرویس برای پردازش ترافیک یک شعبه خاص. در مورد Cisco SD-WAN، با ایجاد یک خط مشی متمرکز مناسب که تمام جنبه های زنجیره سرویس هدف را در یک کل واحد "چسبانده" می کند و به طور خودکار منطق صفحه داده و صفحه کنترل را تنها در جایی تغییر می دهد، به راحتی می توان به این امر دست یافت. و در صورت لزوم

آیا Cisco SD-WAN شاخه ای را که DMVPN روی آن قرار دارد قطع می کند؟

توانایی ایجاد پردازش جغرافیایی توزیع شده ترافیک انواع برنامه های کاربردی انتخاب شده در یک توالی خاص در تجهیزات تخصصی (اما نه مربوط به خود شبکه SD-WAN) شاید واضح ترین نشان دهنده مزایای Cisco SD-WAN نسبت به کلاسیک باشد. فن آوری ها و حتی برخی از راه حل های جایگزین SD -WAN از تولید کنندگان دیگر.

نتیجه؟

بدیهی است که هم DMVPN (با یا بدون مسیریابی عملکرد) و هم Cisco SD-WAN در نهایت مشکلات بسیار مشابه را حل کنید در رابطه با شبکه WAN توزیع شده سازمان. در عین حال، تفاوت های قابل توجه معماری و عملکرد در فناوری SD-WAN Cisco منجر به روند حل این مشکلات می شود. به یک سطح کیفی دیگر. به طور خلاصه، می‌توانیم به تفاوت‌های مهم زیر بین فناوری‌های SD-WAN و DMVPN/PfR اشاره کنیم:

  • DMVPN/PfR به طور کلی از فناوری‌های آزمایش‌شده زمان برای ساخت شبکه‌های VPN همپوشانی استفاده می‌کند و از نظر صفحه داده، شبیه به فناوری مدرن‌تر SD-WAN است، با این حال، تعدادی محدودیت در قالب یک پیکربندی استاتیک اجباری وجود دارد. روترها و انتخاب توپولوژی ها به Hub-n-Spoke محدود می شود. از سوی دیگر، DMVPN/PfR دارای برخی عملکردها است که هنوز در SD-WAN در دسترس نیست (ما در مورد BFD هر برنامه صحبت می کنیم).
  • در صفحه کنترل، فناوری ها اساساً متفاوت هستند. با در نظر گرفتن پردازش متمرکز پروتکل های سیگنالینگ، SD-WAN به ویژه اجازه می دهد تا دامنه های خرابی را به میزان قابل توجهی محدود کند و روند انتقال ترافیک کاربر را از تعامل سیگنالینگ "جدا" کند - در دسترس نبودن موقت کنترلرها بر توانایی انتقال ترافیک کاربر تأثیر نمی گذارد. . در عین حال، در دسترس نبودن موقت هر شعبه (از جمله شعبه مرکزی) به هیچ وجه بر توانایی سایر شعب در تعامل با یکدیگر و کنترل کننده ها تأثیر نمی گذارد.
  • معماری شکل‌گیری و استفاده از سیاست‌های مدیریت ترافیک در مورد SD-WAN نیز نسبت به DMVPN/PfR برتر است - رزرو جغرافیایی بسیار بهتر اجرا می‌شود، اتصال به هاب وجود ندارد، فرصت‌های بیشتری برای خوب وجود دارد. سیاست های تنظیم، لیست سناریوهای مدیریت ترافیک پیاده سازی شده نیز بسیار بزرگتر است.
  • روند ارکستراسیون راه حل نیز به طور قابل توجهی متفاوت است. DMVPN وجود پارامترهای شناخته شده قبلی را فرض می کند که باید به نحوی در پیکربندی منعکس شوند، که تا حدودی انعطاف پذیری راه حل و امکان تغییرات پویا را محدود می کند. به نوبه خود، SD-WAN مبتنی بر این الگو است که در لحظه اولیه اتصال، روتر "هیچ چیزی" در مورد کنترل کننده های خود نمی داند، اما می داند "از چه کسی می توانید بپرسید" - این نه تنها برای برقراری ارتباط خودکار با آن کافی است. کنترل‌کننده‌ها، بلکه به طور خودکار یک توپولوژی صفحه داده کاملاً متصل را تشکیل می‌دهند، که سپس می‌توان آن را با استفاده از سیاست‌ها به طور انعطاف‌پذیر پیکربندی/تغییر داد.
  • از نظر مدیریت متمرکز، اتوماسیون و نظارت، انتظار می‌رود SD-WAN از قابلیت‌های DMVPN/PfR که از فناوری‌های کلاسیک تکامل یافته و بیشتر به خط فرمان CLI و استفاده از سیستم‌های NMS مبتنی بر الگو متکی است، پیشی بگیرد.
  • در SD-WAN، در مقایسه با DMVPN، الزامات امنیتی به سطح کیفی متفاوتی رسیده است. اصول اصلی اعتماد صفر، مقیاس پذیری و احراز هویت دو مرحله ای است.

این نتایج ساده ممکن است این تصور اشتباه را ایجاد کند که ایجاد یک شبکه مبتنی بر DMVPN/PfR امروزه ارتباط خود را از دست داده است. این البته کاملاً درست نیست. به عنوان مثال، در مواردی که شبکه از تجهیزات قدیمی زیادی استفاده می کند و راهی برای جایگزینی آن وجود ندارد، DMVPN می تواند به شما اجازه دهد دستگاه های "قدیمی" و "جدید" را در یک شبکه توزیع جغرافیایی واحد با بسیاری از مزایای توصیف شده ترکیب کنید. در بالا.

از سوی دیگر، باید به خاطر داشت که تمام روترهای فعلی شرکت سیسکو مبتنی بر IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) امروزه از هر حالت عملیاتی پشتیبانی می کنند - هم مسیریابی کلاسیک و هم DMVPN و SD-WAN - انتخاب با نیازهای فعلی و درک این موضوع تعیین می شود که در هر لحظه، با استفاده از تجهیزات مشابه، می توانید حرکت به سمت فناوری پیشرفته تر را آغاز کنید.

منبع: www.habr.com

اضافه کردن نظر