ProHoster > Blogi > antaminen > Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Elokuusta 2017 lähtien, kun Cisco osti Viptelan, hajautettujen yritysverkkojen järjestämiseen tarjottu pääteknologia on tullut Cisco SD-WAN. Viimeisten kolmen vuoden aikana SD-WAN-tekniikka on käynyt läpi monia muutoksia, sekä laadullisesti että määrällisesti. Siten toiminnallisuus on laajentunut merkittävästi ja tuki on ilmestynyt sarjan klassisille reitittimille Cisco ISR 1000, ISR 4000, ASR 1000 ja Virtual CSR 1000v. Samaan aikaan monet Ciscon asiakkaat ja kumppanit ihmettelevät edelleen: mitä eroja on Cisco SD-WAN:in ja jo tuttujen lähestymistapojen välillä, jotka perustuvat esimerkiksi teknologioihin Cisco DMVPN и Cisco Performance Routing ja kuinka tärkeitä nämä erot ovat?

Tässä on heti syytä tehdä varaus, että ennen SD-WANin tuloa Ciscon portfolioon DMVPN yhdessä PfR:n kanssa muodosti keskeisen osan arkkitehtuurissa Cisco IWAN (älykäs WAN), joka puolestaan ​​oli täysimittaisen SD-WAN-tekniikan edeltäjä. Huolimatta sekä ratkaistavien tehtävien että niiden ratkaisumenetelmien yleisestä samankaltaisuudesta, IWAN ei koskaan saanut SD-WANin edellyttämää automatisoinnin, joustavuuden ja skaalautuvuuden tasoa, ja ajan myötä IWANin kehitys on laskenut merkittävästi. Samaan aikaan IWANin muodostavat tekniikat eivät ole kadonneet, ja monet asiakkaat käyttävät niitä edelleen menestyksekkäästi, myös nykyaikaisissa laitteissa. Tämän seurauksena on syntynyt mielenkiintoinen tilanne - sama Cisco-laitteisto antaa sinun valita sopivimman WAN-tekniikan (klassinen, DMVPN+PfR tai SD-WAN) asiakkaiden vaatimusten ja odotusten mukaisesti.

Artikkelin tarkoituksena ei ole analysoida yksityiskohtaisesti kaikkia Cisco SD-WAN- ja DMVPN-tekniikoiden ominaisuuksia (suorituskykyreitityksellä tai ilman) - tätä varten on olemassa valtava määrä asiakirjoja ja materiaaleja. Päätehtävänä on yrittää arvioida keskeisiä eroja näiden teknologioiden välillä. Mutta ennen kuin siirrymme keskustelemaan näistä eroista, muistakaamme lyhyesti itse tekniikat.

Mikä on Cisco DMVPN ja miksi sitä tarvitaan?

Cisco DMVPN ratkaisee etähaaraverkon dynaamisen (= skaalautuvan) yhteyden ongelman yrityksen keskustoimiston verkkoon käytettäessä mielivaltaisia ​​viestintäkanavia, mukaan lukien Internet (= viestintäkanavan salauksella). Teknisesti tämä toteutetaan luomalla virtualisoitu L3 VPN-luokan peittoverkko point-to-multipoint-tilassa, jossa on "Star"-tyyppinen looginen topologia (Hub-n-Spoke). Tämän saavuttamiseksi DMVPN käyttää yhdistelmää seuraavista tekniikoista:

  • IP-reititys
  • Monipisteiset GRE-tunnelit (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto -profiilit

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Mitkä ovat Cisco DMVPN:n tärkeimmät edut verrattuna perinteiseen MPLS VPN -kanavia käyttävään reitittämiseen?

  • Toimialojen välisen verkon luomiseen on mahdollista käyttää mitä tahansa viestintäkanavia - mikä tahansa, joka pystyy tarjoamaan IP-yhteyden haarojen välillä, sopii, kun taas liikenne on salattua (tarvittaessa) ja tasapainotettua (jos mahdollista)
  • Täysin yhdistetty topologia haarojen välille muodostuu automaattisesti. Samanaikaisesti keskus- ja etähaarojen välillä on staattisia tunneleita ja etähaarojen välillä dynaamisia tunneleita (jos liikennettä on)
  • Keskus- ja etähaaran reitittimillä on sama konfiguraatio liitäntöjen IP-osoitteisiin saakka. mGRE:tä käyttämällä ei tarvitse erikseen määrittää kymmeniä, satoja tai jopa tuhansia tunneleita. Tuloksena kunnollinen skaalautuvuus oikealla suunnittelulla.

Mikä on Cisco Performance Routing ja miksi sitä tarvitaan?

Käytettäessä DMVPN:ää toimialakohtaisessa verkossa yksi äärimmäisen tärkeä kysymys jää ratkaisematta - kuinka arvioida dynaamisesti kunkin DMVPN-tunnelin tila organisaatiollemme kriittisen liikenteen vaatimusten mukaisiksi ja tehdä dynaamisesti tällaisen arvioinnin perusteella. päätös uudelleenreitittämisestä? Tosiasia on, että DMVPN tässä osassa eroaa vain vähän perinteisestä reitityksestä - parasta, mitä voidaan tehdä, on määrittää QoS-mekanismit, joiden avulla voit priorisoida liikennettä lähtevään suuntaan, mutta jotka eivät millään pysty ottamaan huomioon koko polun kerrallaan.

Ja mitä tehdä, jos kanava huononee osittain eikä kokonaan - kuinka havaita ja arvioida tämä? DMVPN itse ei voi tehdä tätä. Ottaen huomioon, että haaroja yhdistävät kanavat voivat kulkea täysin eri teleoperaattoreiden kautta täysin eri teknologioiden avulla, tästä tehtävästä tulee erittäin ei-triviaali. Ja tässä tulee apuun Cisco Performance Routing -tekniikka, joka oli siihen mennessä käynyt läpi useita kehitysvaiheita.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Cisco Performance Routingin (jäljempänä PfR) tehtävänä on mitata liikenteen polkujen (tunnelien) tilaa verkkosovelluksille tärkeiden mittareiden perusteella - latenssi, latenssivaihtelu (värinä) ja pakettihäviö (prosentti). Lisäksi voidaan mitata käytetty kaistanleveys. Nämä mittaukset tapahtuvat mahdollisimman lähellä reaaliaikaa ja perustellusti, ja näiden mittausten tulos antaa PfR:ää käyttävän reitittimen tehdä dynaamisesti päätöksiä tarpeesta muuttaa tämän tai toisen tyyppisen liikenteen reititystä.

Siten DMVPN/PfR-yhdistelmän tehtävää voidaan kuvata lyhyesti seuraavasti:

  • Anna asiakkaan käyttää mitä tahansa WAN-verkon viestintäkanavia
  • Varmista näiden kanavien kriittisten sovellusten paras mahdollinen laatu

Mikä on Cisco SD-WAN?

Cisco SD-WAN on teknologia, joka käyttää SDN-lähestymistapaa organisaation WAN-verkon luomiseen ja käyttämiseen. Tämä tarkoittaa erityisesti ns. ohjaimien (ohjelmistoelementtien) käyttöä, jotka mahdollistavat kaikkien ratkaisukomponenttien keskitetyn orkestroinnin ja automaattisen konfiguroinnin. Toisin kuin kanoninen SDN (Clean Slate -tyyli), Cisco SD-WAN käyttää useita ohjaimia, joista jokainen suorittaa oman roolinsa - tämä tehtiin tarkoituksella paremman skaalautuvuuden ja georedundanssin takaamiseksi.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

SD-WANin tapauksessa minkä tahansa tyyppisten kanavien käytön ja yrityssovellusten toiminnan varmistamisen tehtävä pysyy ennallaan, mutta samalla tällaisen verkon automaatiota, skaalautuvuutta, turvallisuutta ja joustavuutta koskevat vaatimukset laajenevat.

Keskustelua eroista

Jos alamme nyt analysoida näiden teknologioiden välisiä eroja, ne kuuluvat johonkin seuraavista luokista:

  • Arkkitehtoniset erot - miten toiminnot jakautuvat ratkaisun eri komponenttien kesken, miten tällaisten komponenttien vuorovaikutus on järjestetty ja miten tämä vaikuttaa teknologian ominaisuuksiin ja joustavuuteen?
  • Toiminnallisuus – mitä yksi tekniikka voi tehdä, mitä toinen ei? Ja onko se todella niin tärkeää?

Mitkä ovat arkkitehtoniset erot ja ovatko ne tärkeitä?

Jokaisessa näistä teknologioista on monia "liikkuvia osia", jotka eroavat paitsi rooleistaan ​​myös siitä, miten ne ovat vuorovaikutuksessa keskenään. Se, kuinka hyvin nämä periaatteet on harkittu ja ratkaisun yleinen mekaniikka määrää suoraan sen skaalautuvuuden, vikasietoisuuden ja kokonaistehokkuuden.

Katsotaanpa arkkitehtuurin eri puolia yksityiskohtaisemmin:

Data-taso – osa ratkaisua, joka vastaa käyttäjäliikenteen välittämisestä lähteen ja vastaanottajan välillä. DMVPN ja SD-WAN toteutetaan yleensä identtisesti itse reitittimissä Multipoint GRE -tunneleiden perusteella. Erona on se, kuinka näille tunneleille muodostetaan tarvittava parametrijoukko:

  • в DMVPN/PfR on yksinomaan kaksitasoinen solmuhierarkia Star- tai Hub-n-Spoke-topologialla. Tarvitaan keskittimen staattinen konfigurointi ja Spoken staattinen sitoutuminen keskittimeen sekä vuorovaikutus NHRP-protokollan kautta datatasoyhteyden muodostamiseksi. Näin ollen tekee Hubiin muutoksista huomattavasti vaikeampaaliittyvät esimerkiksi uusien WAN-kanavien vaihtamiseen/liittämiseen tai olemassa olevien parametrien muuttamiseen.
  • в SD WAN on täysin dynaaminen malli asennettujen tunnelien parametrien havaitsemiseen ohjaustasoon (OMP-protokolla) ja orchestration-tasoon (vuorovaikutus vBond-ohjaimen kanssa ohjaimen havaitsemiseen ja NAT-läpikulkutehtäviin) perustuen. Tässä tapauksessa voidaan käyttää mitä tahansa päällekkäisiä topologioita, myös hierarkkisia. Vakiintuneessa overlay-tunnelitopologiassa loogisen topologian joustava konfigurointi kussakin yksittäisessä VPN:ssä (VRF) on mahdollista.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Ohjaustaso – reitityksen ja muun tiedon vaihto-, suodatus- ja muokkaustoiminnot ratkaisukomponenttien välillä.

  • в DMVPN/PfR – suoritetaan vain Hub- ja Spoke-reitittimien välillä. Suora reititystietojen vaihto Spokesin välillä ei ole mahdollista. Näin ollen Ilman toimivaa keskitintä ohjaustaso ja datataso eivät voi toimia, mikä asettaa Hubille korkeat lisävaatimukset, joita ei aina voida täyttää.
  • в SD WAN – ohjaustasoa ei koskaan suoriteta suoraan reitittimien välillä – vuorovaikutus tapahtuu OMP-protokollan pohjalta ja se tapahtuu välttämättä erillisen erikoistuneen vSmart-ohjaimen kautta, joka mahdollistaa reitittimen tasapainotuksen, maantieteellisen varauksen ja keskitetyn ohjauksen. signaalin kuormitus. Toinen OMP-protokollan ominaisuus on sen merkittävä hävikkien kestävyys ja riippumattomuus kommunikaatiokanavan nopeudesta ohjaimien kanssa (tietysti kohtuullisissa rajoissa). Tämän ansiosta voit sijoittaa SD-WAN-ohjaimia julkisiin tai yksityisiin pilviin Internetin kautta.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Käytäntötaso – osa ratkaisua, joka vastaa liikenteenhallintakäytäntöjen määrittelystä, jakelusta ja soveltamisesta hajautetussa verkossa.

  • DMVPN – sitä rajoittavat tehokkaasti palvelun laatukäytännöt (QoS), jotka on määritetty erikseen jokaiselle reitittimelle CLI- tai Prime Infrastructure -mallien kautta.
  • DMVPN/PfR – PfR-käytännöt muodostetaan keskitetylle Master Controller (MC) -reitittimelle CLI:n kautta ja jaetaan sitten automaattisesti haara-MC:ille. Tässä tapauksessa käytetään samoja käytäntöjen siirtopolkuja kuin datatasolle. Ei ole mahdollista erottaa käytäntöjen, reititystietojen ja käyttäjätietojen vaihtoa. Käytännön levittäminen edellyttää IP-yhteyden olemassaoloa Hubin ja Spoken välillä. Tässä tapauksessa MC-toiminto voidaan tarvittaessa yhdistää DMVPN-reitittimeen. On mahdollista (mutta ei pakollista) käyttää Prime Infrastructure -malleja keskitettyyn käytäntöjen luomiseen. Tärkeä piirre on, että politiikka muodostuu globaalisti koko verkostossa samalla tavalla - Yksittäisten segmenttien yksittäisiä käytäntöjä ei tueta.
  • SD WAN – Liikenteenhallinta ja palvelun laatupolitiikka määritellään keskitetysti Cisco vManage -graafisen käyttöliittymän kautta, joka on käytettävissä myös Internetin kautta (tarvittaessa). Ne jaetaan signalointikanavien kautta suoraan tai epäsuorasti vSmart-ohjainten kautta (käytännön tyypistä riippuen). Ne eivät ole riippuvaisia ​​reitittimien välisestä datatasoyhteydestä, koska käyttää kaikkia käytettävissä olevia liikennereittejä ohjaimen ja reitittimen välillä.

    Eri verkkosegmenteille on mahdollista muotoilla joustavasti erilaisia ​​käytäntöjä - käytännön laajuuden määräävät monet ratkaisussa olevat yksilölliset tunnisteet - haaranumero, sovellustyyppi, liikenteen suunta jne.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Orkesteritaso – mekanismit, joiden avulla komponentit voivat dynaamisesti havaita toisensa, konfiguroida ja koordinoida myöhempiä vuorovaikutuksia.

  • в DMVPN/PfR Keskinäinen etsintä reitittimien välillä perustuu Hub-laitteiden staattiseen kokoonpanoon ja vastaavaan Spoke-laitteiden kokoonpanoon. Dynaaminen etsintä tapahtuu vain Spokelle, joka raportoi Hub-yhteysparametrinsa laitteelle, joka puolestaan ​​on esikonfiguroitu Spoken kanssa. Ilman IP-yhteyttä Spoken ja vähintään yhden keskittimen välillä on mahdotonta muodostaa datatasoa tai ohjaustasoa.
  • в SD WAN Ratkaisukomponenttien organisointi tapahtuu vBond-ohjaimella, jonka kanssa jokaisen komponentin (reitittimet ja vManage/vSmart-ohjaimet) on ensin muodostettava IP-yhteys.

    Aluksi komponentit eivät tiedä toistensa yhteysparametreja - tätä varten he tarvitsevat vBond-välitysorkesterin. Yleisperiaate on seuraava - jokainen komponentti oppii alkuvaiheessa (automaattisesti tai staattisesti) vain yhteysparametrit vBondille, sitten vBond ilmoittaa reitittimelle vManage- ja vSmart-ohjaimista (löydetty aiemmin), mikä mahdollistaa automaattisen muodostamisen. kaikki tarvittavat signalointiliitännät.

    Seuraava askel on, että uusi reititin oppii verkon muista reitittimistä OMP-yhteyden kautta vSmart-ohjaimen kanssa. Näin ollen reititin, tietämättä alun perin mitään verkkoparametreista, pystyy täysin automaattisesti havaitsemaan ja muodostamaan yhteyden ohjaimiin ja sitten automaattisesti havaitsemaan ja muodostamaan yhteyden muihin reitittimiin. Tässä tapauksessa kaikkien komponenttien yhteysparametrit ovat aluksi tuntemattomia ja voivat muuttua käytön aikana.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Hallintataso – osa ratkaisua, joka tarjoaa keskitetyn hallinnan ja valvonnan.

  • DMVPN/PfR – erikoistunutta hallintatasoratkaisua ei tarjota. Perusautomaatioon ja valvontaan voidaan käyttää tuotteita, kuten Cisco Prime Infrastructure. Jokaista reititintä voidaan ohjata CLI-komentorivin kautta. Integrointia ulkoisiin järjestelmiin API:n kautta ei tarjota.
  • SD WAN – kaikki säännöllinen vuorovaikutus ja valvonta suoritetaan keskitetysti vManage-ohjaimen graafisen käyttöliittymän kautta. Kaikki ratkaisun ominaisuudet poikkeuksetta ovat käytettävissä konfiguroitavissa vManagen kautta sekä täysin dokumentoidun REST API -kirjaston kautta.

    Kaikki vManagen SD-WAN-verkkoasetukset muodostuvat kahdesta päärakenteesta - laitemallien muodostamiseen (Device Template) ja politiikan muodostamiseen, joka määrittää verkon toiminnan ja liikenteen käsittelyn logiikan. Samalla vManage, joka lähettää järjestelmänvalvojan luoman politiikan, valitsee automaattisesti mitkä muutokset ja mihin yksittäisiin laitteisiin/ohjaimiin on tehtävä, mikä lisää merkittävästi ratkaisun tehokkuutta ja skaalautuvuutta.

    vManage-rajapinnan kautta ei ole saatavilla vain Cisco SD-WAN -ratkaisun konfigurointi, vaan myös ratkaisun kaikkien komponenttien tilan täydellinen seuranta yksittäisten tunneleiden mittareiden nykyiseen tilaan ja eri sovellusten käyttötilastoihin asti. perustuu DPI-analyysiin.

    Vuorovaikutuksen keskittämisestä huolimatta kaikissa komponenteissa (ohjaimet ja reitittimet) on myös täysin toimiva CLI-komentorivi, joka on tarpeen toteutusvaiheessa tai hätätilanteessa paikallista diagnostiikkaa varten. Normaalitilassa (jos komponenttien välillä on signalointikanava) reitittimissä komentorivi on käytettävissä vain diagnostiikkaa varten eikä paikallisten muutosten tekemiseen, mikä takaa paikallisen turvallisuuden ja ainoa muutoslähde tällaisessa verkossa on vManage.

Integroitu turvallisuus – Tässä ei pitäisi puhua vain avoimia kanavia pitkin siirrettävien käyttäjätietojen suojasta, vaan myös WAN-verkon yleisestä turvallisuudesta valittuun tekniikkaan perustuen.

  • в DMVPN/PfR On mahdollista salata käyttäjätiedot ja signalointiprotokollat. Tiettyjä reititinmalleja käytettäessä palomuuritoiminnot liikennetarkastuksella, IPS/IDS ovat lisäksi saatavilla. Haaraverkkoja on mahdollista segmentoida VRF:n avulla. On mahdollista todentaa (yksitekijä) ohjausprotokollat.

    Tässä tapauksessa etäreititintä pidetään oletusarvoisesti verkon luotettuna elementtinä – ts. yksittäisten laitteiden fyysistä vaarantumista ja mahdollisuutta luvattomaan pääsyyn ei ole otettu eikä oteta huomioon, ratkaisukomponenttien kaksivaiheista todennusta ei ole, mikä maantieteellisesti hajautetun verkon tapauksessa voi sisältää merkittäviä lisäriskejä.

  • в SD WAN analogisesti DMVPN:n kanssa tarjotaan mahdollisuus salata käyttäjätietoja, mutta huomattavasti laajennettu verkkoturvallisuus ja L3/VRF-segmentointitoiminnot (palomuuri, IPS/IDS, URL-suodatus, DNS-suodatus, AMP/TG, SASE, TLS/SSL-välityspalvelin, jne.) d.). Samalla salausavainten vaihto tapahtuu tehokkaammin vSmart-ohjaimien kautta (eikä suoraan), ennalta määritettyjen signalointikanavien kautta, jotka on suojattu tietoturvasertifikaatteihin perustuvalla DTLS/TLS-salauksella. Mikä puolestaan ​​takaa tällaisten vaihtojen turvallisuuden ja varmistaa ratkaisun paremman skaalautuvuuden jopa kymmeniin tuhansiin laitteisiin samassa verkossa.

    Kaikki signalointiliitännät (ohjain-ohjain, ohjain-reititin) on myös suojattu DTLS/TLS:n perusteella. Reitittimet on varustettu tuotannon aikana turvallisuussertifikaateilla, joissa on mahdollisuus vaihtaa/laajentaa. Kaksivaiheinen todennus saavutetaan pakollisella ja samanaikaisesti kahden ehdon täyttymisellä, jotta reititin/ohjain toimii SD-WAN-verkossa:

    • Voimassa oleva turvasertifikaatti
    • Järjestelmänvalvojan selkeä ja tietoinen sisällyttäminen kunkin komponentin "valkoiseen" sallittujen laitteiden luetteloon.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Toiminnalliset erot SD-WAN:n ja DMVPN/PfR:n välillä

Siirryttäessä keskustelemaan toiminnallisista eroista, on huomattava, että monet niistä ovat jatkoa arkkitehtonisille - ei ole mikään salaisuus, että kehittäjät lähtevät ratkaisun arkkitehtuuria muodostaessaan niistä ominaisuuksista, jotka he haluavat lopulta saada. Katsotaanpa näiden kahden tekniikan merkittävimpiä eroja.

AppQ (Application Quality) – toimii varmistamaan yrityssovellusliikenteen siirron laadun

Tarkasteltavana olevien teknologioiden keskeiset toiminnot tähtäävät käyttökokemuksen parantamiseen mahdollisimman paljon käytettäessä liiketoimintakriittisiä sovelluksia hajautetussa verkossa. Tämä on erityisen tärkeää olosuhteissa, joissa osaa infrastruktuurista ei valvo IT tai se ei edes takaa onnistunutta tiedonsiirtoa.

DMVPN ei itse tarjoa tällaisia ​​mekanismeja. Parasta, mitä klassisessa DMVPN-verkossa voidaan tehdä, on luokitella lähtevä liikenne sovelluksen mukaan ja priorisoida se lähetettäessä WAN-kanavaa kohti. DMVPN-tunnelin valinnan määrää tässä tapauksessa vain sen saatavuus ja reititysprotokollien toiminnan tulos. Samaan aikaan polun/tunnelin päästä päähän -tilaa ja sen mahdollista osittaista huononemista ei oteta huomioon verkkosovelluksille merkittävien keskeisten mittareiden - viiveen, viiveen vaihtelun (jitter) ja häviöiden (% ). Tässä suhteessa klassisen DMVPN:n suora vertaaminen SD-WAN:iin AppQ-ongelmien ratkaisemisen kannalta menettää merkityksensä - DMVPN ei voi ratkaista tätä ongelmaa. Kun lisäät tähän kontekstiin Cisco Performance Routing (PfR) -tekniikan, tilanne muuttuu ja vertailusta Cisco SD-WAN:iin tulee mielekkäämpää.

Ennen kuin keskustelemme eroista, tässä on lyhyt katsaus siihen, kuinka tekniikat ovat samanlaisia. Joten molemmat tekniikat:

  • sisältää mekanismin, jonka avulla voit dynaamisesti arvioida jokaisen perustetun tunnelin tilan tiettyjen mittareiden suhteen - vähintään viiveen, viiveen vaihtelun ja pakettihäviön (%)
  • käyttää erityisiä työkaluja liikenteenhallintasääntöjen (politiikkojen) muodostamiseen, jakamiseen ja soveltamiseen ottaen huomioon tunnelin tärkeimpien mittareiden tilan mittaustulokset.
  • luokittele sovellusliikenne OSI-mallin tasoille L3-L4 (DSCP) tai L7-sovellusallekirjoituksilla reitittimeen sisäänrakennettujen DPI-mekanismeihin perustuvien
  • Merkittävissä sovelluksissa niiden avulla voit määrittää mittareiden hyväksyttävät kynnysarvot, oletusarvoisesti liikenteen siirtosäännöt ja säännöt liikenteen uudelleenreitittämiseksi, kun kynnysarvot ylittyvät.
  • Kapseloidessaan liikennettä GRE/IPSecissä he käyttävät jo vakiintunutta alan mekanismia sisäisten DSCP-merkintöjen siirtämiseksi ulkoiseen GRE/IPSEC-paketin otsikkoon, mikä mahdollistaa organisaation ja teleoperaattorin QoS-käytäntöjen synkronoinnin (jos on sopiva SLA) .

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Miten SD-WAN- ja DMVPN/PfR päästä päähän -mittarit eroavat toisistaan?

DMVPN/PfR

  • Sekä aktiivisia että passiivisia ohjelmistoantureita (Probes) käytetään arvioimaan tunnelin kuntomittareita. Aktiiviset perustuvat käyttäjäliikenteeseen, passiiviset jäljittelevät tällaista liikennettä (jos sitä ei ole).
  • Ajastimien ja huononemisen havaitsemisolosuhteiden hienosäätöä ei ole - algoritmi on kiinteä.
  • Lisäksi on käytettävissä käytetyn kaistanleveyden mittaus lähtevässä suunnassa. Tämä lisää liikenteen hallinnan joustavuutta DMVPN/PfR:ään.
  • Samanaikaisesti jotkin PfR-mekanismit luottavat mittareiden ylittyessä palautesignalointiin erityisten TCA (Threshold Crossing Alert) -sanomien muodossa, joiden on tultava liikenteen vastaanottajalta lähdettä kohti, mikä puolestaan ​​olettaa, että mitattujen kanavien tulee olla vähintään riittäviä tällaisten TCA-sanomien lähettämiseen. Mikä useimmissa tapauksissa ei ole ongelma, mutta sitä ei tietenkään voida taata.

SD WAN

  • BFD-protokollaa käytetään kaikutilassa standardien tunnelin tilamittareiden päästä päähän -arviointiin. Tässä tapauksessa erityistä palautetta TCA:n tai vastaavien viestien muodossa ei tarvita - vikaalueet eristetään. Se ei myöskään vaadi käyttäjäliikenteen läsnäoloa tunnelin tilan arvioimiseksi.
  • On mahdollista hienosäätää BFD-ajastimia säätämään algoritmin vastenopeutta ja herkkyyttä tietoliikennekanavan heikkenemiseen useista sekunneista minuutteihin.

    Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

  • Kirjoitushetkellä kussakin tunnelissa on vain yksi BFD-istunto. Tämä mahdollisesti luo vähemmän granulaarisuutta tunnelin tila-analyysissä. Todellisuudessa tästä voi tulla rajoitus vain, jos käytät WAN-yhteyttä, joka perustuu MPLS L2/L3 VPN:ään sovitulla QoS SLA:lla – jos BFD-liikenteen DSCP-merkintä (IPSec/GRE:ssä kapseloinnin jälkeen) vastaa korkean prioriteetin jonoa teleoperaattorin verkkoon, tämä voi vaikuttaa matalan prioriteetin liikenteen huononemisen havaitsemisen tarkkuuteen ja nopeuteen. Samalla on mahdollista muuttaa oletusarvoista BFD-merkintää tällaisten tilanteiden riskin vähentämiseksi. Cisco SD-WAN -ohjelmiston tulevissa versioissa odotetaan lisää hienosäädettyjä BFD-asetuksia sekä kykyä käynnistää useita BFD-istuntoja samassa tunnelissa yksittäisillä DSCP-arvoilla (eri sovelluksille).
  • BFD:n avulla voit lisäksi arvioida suurimman paketin koon, joka voidaan lähettää tietyn tunnelin läpi ilman pirstoutumista. Tämän ansiosta SD-WAN voi säätää dynaamisesti parametreja, kuten MTU:ta ja TCP MSS Adjustia, saadakseen parhaan hyödyn kunkin linkin käytettävissä olevasta kaistanleveydestä.
  • SD-WAN-verkossa on saatavilla myös teleoperaattoreiden QoS-synkronointimahdollisuus, ei vain L3 DSCP-kenttien perusteella, vaan myös L2 CoS -arvojen perusteella, jotka voidaan luoda automaattisesti haaraverkossa erikoislaitteilla - esimerkiksi IP:llä. puhelimet

Miten AppQ-käytäntöjen ominaisuudet, määrittely- ja soveltamismenetelmät eroavat toisistaan?

DMVPN/PfR-käytännöt:

  • Määritetään keskushaarojen reitittimissä CLI-komentorivin tai CLI-määritysmallien kautta. CLI-mallien luominen vaatii valmistelua ja käytäntöjen syntaksin tuntemusta.

    Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

  • Määritelty maailmanlaajuisesti ilman yksittäisen konfiguroinnin/muutosmahdollisuutta yksittäisten verkkosegmenttien vaatimusten mukaisesti.
  • Graafisessa käyttöliittymässä ei ole interaktiivista käytäntöjen luomista.
  • Muutosten seurantaa, periytymistä ja useiden käytäntöjen versioiden luomista nopeaa vaihtoa varten ei tarjota.
  • Jaetaan automaattisesti etähaarojen reitittimille. Tässä tapauksessa käytetään samoja viestintäkanavia kuin käyttäjädatan siirtoon. Jos keskus- ja etähaaran välillä ei ole viestintäkanavaa, käytäntöjen jakelu/muutos on mahdotonta.
  • Niitä käytetään jokaisessa reitittimessä, ja ne tarvittaessa muokkaavat standardien reititysprotokollien tulosta, joilla on korkeampi prioriteetti.
  • Tapauksissa, joissa kaikki haaran WAN-linkit kärsivät merkittävästä liikennehäviöstä, korvausmekanismeja ei tarjota.

SD-WAN-käytännöt:

  • Määritetään vManage-käyttöliittymässä ohjatun interaktiivisen mallin avulla.
  • Tukee useiden käytäntöjen luomista, kopioimista, perimistä ja käytäntöjen välillä vaihtamista reaaliajassa.
  • Tukee yksittäisiä käytäntöasetuksia eri verkkosegmenteille (haaroille)
  • Ne jaetaan käyttämällä mitä tahansa käytettävissä olevaa signaalikanavaa ohjaimen ja reitittimen ja/tai vSmartin välillä - eivät suoraan riipu reitittimien välisestä datatason liitettävyydestä. Tämä tietysti vaatii IP-yhteyden itse reitittimen ja ohjaimien välillä.

    Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

  • Tapauksissa, joissa haaran kaikissa käytettävissä olevissa haaroissa tapahtuu merkittäviä datahäviöitä, jotka ylittävät kriittisten sovellusten hyväksyttävien kynnysten rajat, on mahdollista käyttää lisämekanismeja, jotka lisäävät lähetyksen luotettavuutta:
    • FEC (Forward Error Correction) – käyttää erityistä redundanttia koodausalgoritmia. Siirrettäessä kriittistä liikennettä kanavien kautta, joissa on huomattava hävikkiprosentti, FEC voidaan aktivoida automaattisesti ja mahdollistaa tarvittaessa kadonneen osan palauttamisen tiedosta. Tämä lisää hieman käytettyä lähetyskaistanleveyttä, mutta parantaa merkittävästi luotettavuutta.

      Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

    • Tietovirtojen päällekkäisyys – FEC:n lisäksi politiikka voi mahdollistaa valittujen sovellusten liikenteen automaattisen päällekkäisyyden, jos tappiot ovat vieläkin vakavampia, joita FEC ei pysty kompensoimaan. Tässä tapauksessa valitut tiedot lähetetään kaikkien tunneleiden kautta kohti vastaanottavaa haaraa, minkä jälkeen kopiointi poistetaan (pakettien ylimääräisten kopioiden pudottaminen). Mekanismi lisää merkittävästi kanavien käyttöastetta, mutta myös merkittävästi lähetyksen luotettavuutta.

Cisco SD-WAN -ominaisuudet ilman suoria analogeja DMVPN/PfR:ssä

Cisco SD-WAN -ratkaisun arkkitehtuuri mahdollistaa joissain tapauksissa ominaisuuksien hankkimisen, jotka ovat joko erittäin vaikeita toteuttaa DMVPN/PfR:ssä tai jotka ovat epäkäytännöllisiä vaadittujen työvoimakustannusten vuoksi tai ovat täysin mahdottomia. Katsotaanpa mielenkiintoisimpia niistä:

Liikennetekniikka (TE)

TE sisältää mekanismeja, jotka sallivat liikenteen haarautua reititysprotokollien muodostamasta vakioreitistä. TE:tä käytetään usein verkkopalvelujen korkean käytettävyyden varmistamiseen, koska se pystyy nopeasti ja/tai ennakoivasti siirtämään kriittistä liikennettä vaihtoehtoiselle (erilliselle) siirtotielle, jotta voidaan varmistaa parempi palvelun laatu tai toipumisnopeus vian sattuessa. pääradalla.

TE:n toteuttamisen vaikeus piilee tarpeessa laskea ja varata (tarkistaa) vaihtoehtoinen polku etukäteen. Teleoperaattoreiden MPLS-verkoissa tämä ongelma ratkaistaan ​​käyttämällä teknologioita, kuten MPLS Traffic-Engineering, jossa on IGP-protokollan ja RSVP-protokollan laajennuksia. Viime aikoina myös Segment Routing -tekniikka, joka on optimoitu paremmin keskitettyyn konfigurointiin ja orkestrointiin, on tullut yhä suositummaksi. Klassisissa WAN-verkoissa näitä tekniikoita ei yleensä esitetä tai ne rajoittuvat hop-by-hop-mekanismeihin, kuten Policy-Based Routing (PBR), jotka pystyvät haaroittamaan liikennettä, mutta toteuttavat tämän jokaisessa reitittimessä erikseen - ottamatta ottaa huomioon verkon tai PBR-tuloksen kokonaistilan edellisissä tai myöhemmissä vaiheissa. Näiden TE-vaihtoehtojen käytön tulos on pettymys - konfiguroinnin ja toiminnan monimutkaisuuden vuoksi MPLS TE:tä käytetään pääsääntöisesti vain verkon kriittisimmässä osassa (ydin), ja PBR:tä käytetään yksittäisissä reitittimissä ilman kyky luoda yhtenäinen PBR-käytäntö koko verkkoa varten. Ilmeisesti tämä koskee myös DMVPN-pohjaisia ​​verkkoja.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

SD-WAN tarjoaa tässä suhteessa paljon tyylikkäämmän ratkaisun, joka ei ole vain helppo konfiguroida, vaan myös skaalautuu paljon paremmin. Tämä on seurausta käytetyistä ohjaustason ja käytäntötason arkkitehtuureista. Käytäntötason toteuttaminen SD-WANissa mahdollistaa keskitetysti TE-politiikan määrittelemisen - mikä liikenne kiinnostaa? mille VPN:ille? Minkä solmukohtien/tunneleiden kautta vaihtoehtoisen reitin muodostaminen on välttämätöntä tai päinvastoin kiellettyä? VSmart-ohjaimiin perustuva ohjaustason hallinnan keskittäminen puolestaan ​​mahdollistaa reititystulosten muokkaamisen turvautumatta yksittäisten laitteiden asetuksiin - reitittimet näkevät jo nyt vain vManage-rajapinnassa luodun ja käytettäväksi siirretyn logiikan tuloksen. vSmart.

Palvelun ketjuttaminen

Palveluketjujen muodostaminen on perinteisessä reitityksessä vieläkin työvoimavaltaisempi tehtävä kuin jo kuvattu Traffic-Engineering-mekanismi. Todellakin, tässä tapauksessa on välttämätöntä paitsi luoda erityinen reitti tietylle verkkosovellukselle, myös varmistaa kyky poistaa liikennettä verkosta tietyissä (tai kaikissa) SD-WAN-verkon solmuissa käsittelyä varten. erityinen sovellus tai palvelu (palomuuri, tasapainotus, välimuisti, tarkastusliikenne jne.). Samalla näiden ulkoisten palveluiden tilaa on kyettävä hallitsemaan mustien aukkojen estämiseksi, ja tarvitaan myös mekanismeja, jotka mahdollistavat tällaisten samantyyppisten ulkoisten palvelujen sijoittamisen eri maantieteellisiin paikkoihin. verkon kyvyllä valita automaattisesti optimaalinen palvelusolmu tietyn haaran liikenteen käsittelemiseksi. Cisco SD-WAN:n tapauksessa tämä on melko helppo saavuttaa luomalla sopiva keskitetty käytäntö, joka "liimaa" kohdepalveluketjun kaikki osa-alueet yhdeksi kokonaisuudeksi ja muuttaa automaattisesti datatason ja ohjaustason logiikkaa vain silloin, kun ja tarvittaessa.

Katkaiseeko Cisco SD-WAN haaran, jolla DMVPN sijaitsee?

Mahdollisuus luoda tietyntyyppisten sovellusten liikenteen maantieteellisesti hajautettu käsittely tietyssä järjestyksessä erikoistuneilla (mutta ei itse SD-WAN-verkkoon liittyvillä) laitteilla on ehkä selkein osoitus Ciscon SD-WANin eduista klassiseen verrattuna. teknologioita ja jopa joitain vaihtoehtoisia SD-ratkaisuja -WAN muilta valmistajilta.

Tulos?

Ilmeisesti sekä DMVPN (suorituskykyreitityksellä tai ilman) että Cisco SD-WAN päätyvät ratkaisemaan hyvin samanlaisia ​​ongelmia suhteessa organisaation hajautettuun WAN-verkkoon. Samaan aikaan merkittävät arkkitehtoniset ja toiminnalliset erot Cisco SD-WAN -teknologiassa johtavat näiden ongelmien ratkaisemiseen. toiselle laatutasolle. Yhteenvetona voidaan todeta seuraavat merkittävät erot SD-WAN- ja DMVPN/PfR-tekniikoiden välillä:

  • DMVPN/PfR:t käyttävät yleisesti aikatestattuja tekniikoita overlay VPN -verkkojen rakentamiseen ja ovat datatason suhteen samanlaisia ​​kuin nykyaikaisempi SD-WAN-tekniikka, mutta pakollisen staattisen konfiguroinnin muodossa on useita rajoituksia. reitittimien ja topologioiden valinta on rajoitettu Hub-n-Spokeen. Toisaalta DMVPN/PfR:ssä on joitain toimintoja, joita ei vielä ole saatavilla SD-WAN:ssa (puhumme sovelluskohtaisesta BFD:stä).
  • Ohjaustason sisällä tekniikat eroavat perusteellisesti. Ottaen huomioon signalointiprotokollien keskitetyn käsittelyn, SD-WAN mahdollistaa erityisesti vikaalueiden merkittävästi kaventamisen ja käyttäjäliikenteen välitysprosessin "irrotuksen" signalointivuorovaikutuksesta - ohjaimien tilapäinen poissaolo ei vaikuta kykyyn välittää käyttäjäliikennettä . Samanaikaisesti minkään sivukonttorin (mukaan lukien keskuskonttorin) tilapäinen poissaolo ei vaikuta millään tavalla muiden haarakonttoreiden kykyyn olla vuorovaikutuksessa toistensa ja valvojien kanssa.
  • Liikenteenhallintakäytäntöjen muodostus- ja soveltamisarkkitehtuuri SD-WAN:n tapauksessa on myös parempi kuin DMVPN/PfR:ssä - maantieteellinen varaus on paljon paremmin toteutettu, ei ole yhteyttä Hubiin, on enemmän mahdollisuuksia hienoon. -virityspolitiikkaa, lista toteutetuista liikenteenhallinnan skenaarioista on myös paljon suurempi.
  • Ratkaisun orkestrointiprosessi on myös merkittävästi erilainen. DMVPN olettaa aiemmin tunnettujen parametrien olemassaolon, jotka on jollain tavalla heijastuttava konfiguraatioon, mikä rajoittaa jonkin verran ratkaisun joustavuutta ja dynaamisten muutosten mahdollisuutta. SD-WAN puolestaan ​​perustuu paradigmaan, että yhteyden alkuhetkellä reititin "ei tiedä mitään" ohjaimistaan, mutta tietää "keneltä voit kysyä" - tämä ei riitä vain muodostamaan automaattisesti yhteyden ohjaimia, mutta myös muodostamaan automaattisesti täysin yhdistetyn datatason topologian, jota voidaan sitten joustavasti konfiguroida/muuttaa käytäntöjen avulla.
  • Keskitetyn hallinnan, automaation ja valvonnan osalta SD-WANin odotetaan ylittävän DMVPN/PfR:n ominaisuudet, jotka ovat kehittyneet klassisista teknologioista ja jotka ovat enemmän riippuvaisia ​​CLI-komentorivistä ja mallipohjaisten NMS-järjestelmien käytöstä.
  • SD-WAN:issa turvallisuusvaatimukset ovat saavuttaneet erilaisen laadullisen tason verrattuna DMVPN:ään. Pääperiaatteet ovat nolla luottamus, skaalautuvuus ja kaksivaiheinen todennus.

Nämä yksinkertaiset johtopäätökset voivat antaa väärän vaikutelman, että DMVPN/PfR-pohjaisen verkon luominen on menettänyt merkityksensä nykyään. Tämä ei tietenkään ole täysin totta. Esimerkiksi tapauksissa, joissa verkko käyttää paljon vanhentuneita laitteita eikä sitä ole mahdollista korvata, DMVPN voi antaa sinun yhdistää "vanhat" ja "uudet" laitteet yhdeksi maantieteellisesti hajautettuun verkkoon monilla kuvatuilla eduilla. edellä.

Toisaalta on syytä muistaa, että kaikki nykyiset Ciscon yritysreitittimet, jotka perustuvat IOS XE:hen (ISR 1000, ISR 4000, ASR 1000, CSR 1000v), tukevat nykyään mitä tahansa toimintatilaa - sekä klassista reititystä että DMVPN:tä ja SD-WAN:ia. valinnan määräävät senhetkiset tarpeet ja ymmärrys siitä, että milloin tahansa samaa laitteistoa käyttämällä voit alkaa siirtyä kohti edistyneempää teknologiaa.

Lähde: will.com

Lisää kommentti