Cisco SD-WAN va-t-il scier la branche sur laquelle DMVPN est assis ?

Depuis août 2017, date à laquelle Cisco a acquis Viptela, la principale technologie proposée pour organiser les réseaux d'entreprise distribués est devenue Cisco SD-WAN. Au cours des 3 dernières années, la technologie SD-WAN a connu de nombreuses évolutions, tant qualitatives que quantitatives. Ainsi, les fonctionnalités se sont considérablement étendues et le support est apparu sur les routeurs classiques de la série. Cisco ISR 1000, ISR 4000, ASR 1000 et Virtual CSR 1000v. Dans le même temps, de nombreux clients et partenaires Cisco continuent de se demander : quelles sont les différences entre Cisco SD-WAN et les approches déjà familières basées sur des technologies telles que Cisco DMVPN и Routage des performances Cisco et quelle est l’importance de ces différences ?

Ici, nous devons immédiatement faire une réserve : avant l'avènement du SD-WAN dans le portefeuille Cisco, DMVPN et PfR constituaient un élément clé de l'architecture. Cisco IWAN (WAN intelligent), qui à son tour était le prédécesseur de la technologie SD-WAN à part entière. Malgré la similitude générale des tâches à résoudre et des méthodes pour les résoudre, IWAN n'a jamais reçu le niveau d'automatisation, de flexibilité et d'évolutivité nécessaire au SD-WAN, et au fil du temps, le développement d'IWAN a considérablement diminué. Dans le même temps, les technologies qui composent IWAN n'ont pas disparu et de nombreux clients continuent de les utiliser avec succès, y compris sur des équipements modernes. En conséquence, une situation intéressante s'est présentée : le même équipement Cisco vous permet de choisir la technologie WAN la plus adaptée (classique, DMVPN+PfR ou SD-WAN) en fonction des exigences et des attentes des clients.

L'article n'a pas l'intention d'analyser en détail toutes les fonctionnalités des technologies Cisco SD-WAN et DMVPN (avec ou sans Performance Routing) - il existe une énorme quantité de documents et de matériels disponibles pour cela. La tâche principale est d'essayer d'évaluer les principales différences entre ces technologies. Mais avant d’aborder ces différences, rappelons brièvement les technologies elles-mêmes.

Qu'est-ce que Cisco DMVPN et pourquoi est-il nécessaire ?

Cisco DMVPN résout le problème de la connexion dynamique (= évolutive) d'un réseau de succursales distantes au réseau du bureau central d'une entreprise lors de l'utilisation de types arbitraires de canaux de communication, y compris Internet (= avec cryptage du canal de communication). Techniquement, cela se réalise en créant un réseau superposé virtualisé de classe VPN L3 en mode point à multipoint avec une topologie logique de type « Star » (Hub-n-Spoke). Pour y parvenir, DMVPN utilise une combinaison des technologies suivantes :

• Routage IP
• Tunnels GRE multipoints (mGRE)
• Protocole de résolution du prochain saut (NHRP)
• Profils de chiffrement IPSec

Quels sont les principaux avantages de Cisco DMVPN par rapport au routage classique utilisant les canaux VPN MPLS ?

• Pour créer un réseau intersuccursales, il est possible d'utiliser n'importe quel canal de communication - tout ce qui peut fournir une connectivité IP entre les succursales convient, tandis que le trafic sera crypté (si nécessaire) et équilibré (si possible)
• Une topologie entièrement connectée entre les branches est automatiquement formée. Parallèlement, il existe des tunnels statiques entre les branches centrales et distantes, et des tunnels dynamiques à la demande entre les branches distantes (s'il y a du trafic)
• Les routeurs de la branche centrale et distante ont la même configuration jusqu'aux adresses IP des interfaces. En utilisant mGRE, il n'est pas nécessaire de configurer individuellement des dizaines, des centaines, voire des milliers de tunnels. En conséquence, une évolutivité décente avec la bonne conception.

Qu'est-ce que Cisco Performance Routing et pourquoi est-il nécessaire ?

Lors de l'utilisation de DMVPN sur un réseau intersuccursale, une question extrêmement importante reste en suspens : comment évaluer dynamiquement l'état de chacun des tunnels DMVPN pour vérifier leur conformité aux exigences de trafic critiques pour notre organisation et, encore une fois, sur la base d'une telle évaluation, faire dynamiquement une décision de réacheminement ? Le fait est que DMVPN dans cette partie diffère peu du routage classique - le mieux que l'on puisse faire est de configurer des mécanismes de QoS qui permettront de prioriser le trafic dans le sens sortant, mais ne sont en aucun cas capables de prendre en compte l'état de tout le chemin à un moment ou à un autre.

Et que faire si le canal se dégrade partiellement ou pas complètement - comment détecter et évaluer cela ? DMVPN lui-même ne peut pas faire cela. Étant donné que les canaux reliant les succursales peuvent passer par des opérateurs de télécommunications complètement différents, utilisant des technologies complètement différentes, cette tâche devient extrêmement simple. Et c'est ici que la technologie Cisco Performance Routing vient à la rescousse, qui avait déjà franchi plusieurs étapes de développement à cette époque.

La tâche de Cisco Performance Routing (ci-après PfR) se résume à mesurer l'état des chemins (tunnels) du trafic sur la base de métriques clés importantes pour les applications réseau - latence, variation de latence (gigue) et perte de paquets (pourcentage). De plus, la bande passante utilisée peut être mesurée. Ces mesures se produisent aussi près que possible du temps réel et de manière justifiée, et le résultat de ces mesures permet au routeur utilisant PfR de prendre dynamiquement des décisions sur la nécessité de modifier le routage de tel ou tel type de trafic.

Ainsi, la tâche de la combinaison DMVPN/PfR peut être brièvement décrite comme suit :

• Autoriser le client à utiliser tous les canaux de communication sur le réseau WAN
• Assurer la meilleure qualité possible des applications critiques sur ces canaux

Qu’est-ce que le SD-WAN Cisco ?

Cisco SD-WAN est une technologie qui utilise l'approche SDN pour créer et exploiter le réseau WAN d'une organisation. Cela signifie notamment l'utilisation de ce que l'on appelle des contrôleurs (éléments logiciels), qui assurent une orchestration centralisée et une configuration automatisée de tous les composants de la solution. Contrairement au SDN canonique (style Clean Slate), Cisco SD-WAN utilise plusieurs types de contrôleurs, chacun remplissant son propre rôle - cela a été fait intentionnellement afin d'offrir une meilleure évolutivité et géoredondance.

Dans le cas du SD-WAN, la tâche d'utiliser tout type de canaux et d'assurer le fonctionnement des applications métier reste la même, mais en même temps les exigences d'automatisation, d'évolutivité, de sécurité et de flexibilité d'un tel réseau augmentent.

Discussion des différences

Si nous commençons maintenant à analyser les différences entre ces technologies, elles entreront dans l’une des catégories suivantes :

• Différences architecturales : comment les fonctions sont-elles réparties entre les différents composants de la solution, comment l'interaction de ces composants est-elle organisée et comment cela affecte-t-il les capacités et la flexibilité de la technologie ?
• Fonctionnalité : que peut faire une technologie qu'une autre ne peut pas faire ? Et est-ce vraiment si important ?

Quelles sont les différences architecturales et sont-elles importantes ?

Chacune de ces technologies comporte de nombreuses « pièces mobiles » qui diffèrent non seulement par leurs rôles, mais également par la manière dont elles interagissent les unes avec les autres. La qualité de réflexion de ces principes et la mécanique générale de la solution déterminent directement son évolutivité, sa tolérance aux pannes et son efficacité globale.

Examinons plus en détail les différents aspects de l'architecture :

Plan de données – partie de la solution chargée de transmettre le trafic utilisateur entre la source et le destinataire. DMVPN et SD-WAN sont implémentés généralement de manière identique sur les routeurs eux-mêmes basés sur des tunnels Multipoint GRE. La différence réside dans la manière dont l'ensemble de paramètres nécessaire pour ces tunnels est formé :

• в DMVPN/PfR est une hiérarchie de nœuds exclusivement à deux niveaux avec une topologie en étoile ou Hub-n-Spoke. Une configuration statique du Hub et une liaison statique de Spoke au Hub sont requises, ainsi qu'une interaction via le protocole NHRP pour former une connectivité du plan de données. Par conséquent, rendre les modifications apportées au Hub beaucoup plus difficilesliés, par exemple, à la modification/connexion de nouveaux canaux WAN ou à la modification des paramètres de canaux existants.
• в SD-WAN est un modèle entièrement dynamique pour détecter les paramètres des tunnels installés basé sur le plan de contrôle (protocole OMP) et le plan d'orchestration (interaction avec le contrôleur vBond pour la détection du contrôleur et les tâches de traversée NAT). Dans ce cas, toutes les topologies superposées peuvent être utilisées, y compris hiérarchiques. Dans le cadre de la topologie de tunnel de superposition établie, une configuration flexible de la topologie logique dans chaque VPN (VRF) individuel est possible.

Avion de contrôle – des fonctions d'échange, de filtrage et de modification du routage et d'autres informations entre les composants de la solution.

• в DMVPN/PfR – effectué uniquement entre les routeurs Hub et Spoke. L'échange direct d'informations de routage entre les Spokes n'est pas possible. Par conséquent, Sans un hub fonctionnel, le plan de contrôle et le plan de données ne peuvent pas fonctionner, ce qui impose au Hub des exigences supplémentaires en matière de haute disponibilité qui ne peuvent pas toujours être satisfaites.
• в SD-WAN – le plan de contrôle n'est jamais effectué directement entre les routeurs – l'interaction se produit sur la base du protocole OMP et est nécessairement effectuée via un type spécialisé distinct de contrôleur vSmart, qui offre la possibilité d'équilibrage, de géo-réservation et de contrôle centralisé du charge de signal. Une autre caractéristique du protocole OMP est sa résistance importante aux pertes et son indépendance vis-à-vis de la vitesse du canal de communication avec les contrôleurs (dans des limites raisonnables, bien entendu). Ce qui permet également avec succès de placer des contrôleurs SD-WAN dans des cloud publics ou privés avec accès via Internet.

Plan politique – partie de la solution chargée de définir, distribuer et appliquer les politiques de gestion du trafic sur un réseau distribué.

• DMVPN – est effectivement limité par les politiques de qualité de service (QoS) configurées individuellement sur chaque routeur via les modèles CLI ou Prime Infrastructure.
• DMVPN/PfR – Les politiques PfR sont formées sur le routeur centralisé Master Controller (MC) via la CLI, puis automatiquement distribuées aux MC des succursales. Dans ce cas, les mêmes chemins de transfert de politique sont utilisés que pour le plan de données. Il n'est pas possible de séparer l'échange de politiques, d'informations de routage et de données utilisateur. La propagation des politiques nécessite la présence d’une connectivité IP entre le Hub et le Spoke. Dans ce cas, la fonction MC peut, si nécessaire, être combinée avec un routeur DMVPN. Il est possible (mais pas obligatoire) d'utiliser des modèles Prime Infrastructure pour la génération centralisée de politiques. Une caractéristique importante est que la politique est formée globalement à travers le réseau de la même manière : Les stratégies individuelles pour des segments individuels ne sont pas prises en charge.
• SD-WAN – les politiques de gestion du trafic et de qualité de service sont déterminées de manière centralisée via l'interface graphique Cisco vManage, accessible également via Internet (si nécessaire). Ils sont distribués via des canaux de signalisation directement ou indirectement via des contrôleurs vSmart (selon le type de politique). Ils ne dépendent pas de la connectivité du plan de données entre les routeurs, car utilisez tous les chemins de trafic disponibles entre le contrôleur et le routeur.

  Pour différents segments de réseau, il est possible de créer de manière flexible différentes politiques - la portée de la politique est déterminée par les nombreux identifiants uniques fournis dans la solution - numéro de succursale, type d'application, sens du trafic, etc.

Plan d'orchestration – des mécanismes qui permettent aux composants de se détecter dynamiquement, de configurer et de coordonner les interactions ultérieures.

• в DMVPN/PfR La découverte mutuelle entre les routeurs est basée sur la configuration statique des appareils Hub et la configuration correspondante des appareils Spoke. La découverte dynamique se produit uniquement pour Spoke, qui signale ses paramètres de connexion Hub à l'appareil, qui à son tour est préconfiguré avec Spoke. Sans connectivité IP entre Spoke et au moins un Hub, il est impossible de former un plan de données ou un plan de contrôle.
• в SD-WAN l'orchestration des composants de la solution s'effectue à l'aide du contrôleur vBond, avec lequel chaque composant (routeurs et contrôleurs vManage/vSmart) doit d'abord établir une connectivité IP.

  Initialement, les composants ne connaissent pas les paramètres de connexion les uns des autres - pour cela, ils ont besoin de l'orchestrateur intermédiaire vBond. Le principe général est le suivant - chaque composant dans la phase initiale apprend (automatiquement ou statiquement) uniquement les paramètres de connexion à vBond, puis vBond informe le routeur des contrôleurs vManage et vSmart (découverts précédemment), ce qui permet d'établir automatiquement toutes les connexions de signalisation nécessaires.

  L'étape suivante consiste pour le nouveau routeur à découvrir les autres routeurs du réseau via la communication OMP avec le contrôleur vSmart. Ainsi, le routeur, sans rien savoir au départ des paramètres du réseau, est capable de détecter et de se connecter de manière entièrement automatique aux contrôleurs, puis de détecter et d'établir automatiquement une connectivité avec d'autres routeurs. Dans ce cas, les paramètres de connexion de tous les composants sont initialement inconnus et peuvent changer pendant le fonctionnement.

Plan de gestion – fait partie de la solution qui assure une gestion et une surveillance centralisées.

• DMVPN/PfR – aucune solution spécialisée de plan de gestion n'est fournie. Pour l'automatisation et la surveillance de base, des produits tels que Cisco Prime Infrastructure peuvent être utilisés. Chaque routeur a la capacité d'être contrôlé via la ligne de commande CLI. L'intégration avec des systèmes externes via API n'est pas fournie.
• SD-WAN – toutes les interactions et surveillances régulières sont effectuées de manière centralisée via l’interface graphique du contrôleur vManage. Toutes les fonctionnalités de la solution, sans exception, sont disponibles pour la configuration via vManage, ainsi que via une bibliothèque API REST entièrement documentée.

  Tous les paramètres réseau SD-WAN dans vManage se résument à deux constructions principales : la formation de modèles de périphérique (Device Template) et la formation d'une politique qui détermine la logique de fonctionnement du réseau et de traitement du trafic. Dans le même temps, vManage, diffusant la politique générée par l'administrateur, sélectionne automatiquement les modifications et sur quels appareils/contrôleurs individuels doivent être effectués, ce qui augmente considérablement l'efficacité et l'évolutivité de la solution.

  Grâce à l'interface vManage, non seulement la configuration de la solution Cisco SD-WAN est disponible, mais également une surveillance complète de l'état de tous les composants de la solution, jusqu'à l'état actuel des métriques pour les tunnels individuels et des statistiques sur l'utilisation de diverses applications. basé sur l’analyse DPI.

  Malgré la centralisation de l'interaction, tous les composants (contrôleurs et routeurs) disposent également d'une ligne de commande CLI entièrement fonctionnelle, nécessaire au stade de la mise en œuvre ou en cas d'urgence pour un diagnostic local. En mode normal (s'il existe un canal de signalisation entre les composants) sur les routeurs, la ligne de commande est disponible uniquement pour le diagnostic et n'est pas disponible pour effectuer des modifications locales, ce qui garantit la sécurité locale et la seule source de modifications dans un tel réseau est vManage.

Sécurité intégrée – ici, nous devrions parler non seulement de la protection des données des utilisateurs lorsqu'elles sont transmises sur des canaux ouverts, mais aussi de la sécurité globale du réseau WAN basée sur la technologie sélectionnée.

• в DMVPN/PfR Il est possible de chiffrer les données utilisateur et les protocoles de signalisation. Lors de l'utilisation de certains modèles de routeurs, des fonctions de pare-feu avec inspection du trafic et IPS/IDS sont également disponibles. Il est possible de segmenter les réseaux de succursales à l'aide de VRF. Il est possible d'authentifier des protocoles de contrôle (à un facteur).

  Dans ce cas, le routeur distant est considéré par défaut comme un élément de confiance du réseau – c'est-à-dire les cas de compromission physique d'appareils individuels et la possibilité d'un accès non autorisé à ceux-ci ne sont ni supposés ni pris en compte ; il n'y a pas d'authentification à deux facteurs des composants de la solution, ce qui dans le cas d'un réseau géographiquement distribué peut comporter des risques supplémentaires importants.

• в SD-WAN par analogie avec DMVPN, la possibilité de chiffrer les données des utilisateurs est fournie, mais avec une sécurité réseau et des fonctions de segmentation L3/VRF considérablement étendues (pare-feu, IPS/IDS, filtrage d'URL, filtrage DNS, AMP/TG, SASE, proxy TLS/SSL, etc.) d.). Dans le même temps, l'échange de clés de chiffrement s'effectue plus efficacement via des contrôleurs vSmart (plutôt que directement), via des canaux de signalisation préétablis protégés par un chiffrement DTLS/TLS basé sur des certificats de sécurité. Ce qui garantit à son tour la sécurité de ces échanges et assure une meilleure évolutivité de la solution jusqu'à des dizaines de milliers d'appareils sur un même réseau.

  Toutes les connexions de signalisation (contrôleur à contrôleur, contrôleur-routeur) sont également protégées sur la base de DTLS/TLS. Les routeurs sont équipés de certificats de sécurité pendant la production avec possibilité de remplacement/extension. L'authentification à deux facteurs est obtenue grâce à la réalisation obligatoire et simultanée de deux conditions pour que le routeur/contrôleur fonctionne dans un réseau SD-WAN :

  • Certificat de sécurité valide
  • Inclusion explicite et consciente par l'administrateur de chaque composant dans la liste « blanche » des appareils autorisés.

Différences fonctionnelles entre SD-WAN et DMVPN/PfR

Passant à l'examen des différences fonctionnelles, il convient de noter que beaucoup d'entre elles sont une continuation des différences architecturales - ce n'est un secret pour personne que lors de la formation de l'architecture d'une solution, les développeurs partent des capacités qu'ils souhaitent obtenir au final. Examinons les différences les plus significatives entre les deux technologies.

AppQ (Application Quality) – fonctions pour assurer la qualité de transmission du trafic des applications métier

Les fonctions clés des technologies considérées visent à améliorer autant que possible l'expérience utilisateur lors de l'utilisation d'applications critiques pour l'entreprise dans un réseau distribué. Ceci est particulièrement important dans des conditions où une partie de l'infrastructure n'est pas contrôlée par l'informatique ou ne garantit même pas un transfert de données réussi.

DMVPN ne fournit pas lui-même de tels mécanismes. Le mieux que l'on puisse faire dans un réseau DMVPN classique est de classer le trafic sortant par application et de le prioriser lors de sa transmission vers le canal WAN. Le choix d'un tunnel DMVPN est déterminé dans ce cas uniquement par sa disponibilité et le résultat du fonctionnement des protocoles de routage. Dans le même temps, l'état de bout en bout du chemin/tunnel et sa possible dégradation partielle ne sont pas pris en compte en termes de métriques clés significatives pour les applications réseau - délai, variation du délai (gigue) et pertes (% ). À cet égard, comparer directement le DMVPN classique avec le SD-WAN en termes de résolution des problèmes AppQ perd tout sens - DMVPN ne peut pas résoudre ce problème. Lorsque vous ajoutez la technologie Cisco Performance Routing (PfR) dans ce contexte, la situation change et la comparaison avec Cisco SD-WAN devient plus significative.

Avant de discuter des différences, voici un aperçu rapide des similitudes entre les technologies. Ainsi, les deux technologies :

• disposer d'un mécanisme qui vous permet d'évaluer dynamiquement l'état de chaque tunnel établi en termes de certaines métriques - au minimum, le délai, la variation du délai et la perte de paquets (%)
• utiliser un ensemble spécifique d'outils pour former, distribuer et appliquer des règles de gestion du trafic (politiques), en tenant compte des résultats de la mesure de l'état des métriques clés du tunnel.
• classer le trafic applicatif aux niveaux L3-L4 (DSCP) du modèle OSI ou par signatures applicatives L7 basées sur les mécanismes DPI intégrés au routeur
• Pour les applications importantes, ils permettent de déterminer des valeurs seuils acceptables de métriques, des règles de transmission du trafic par défaut et des règles de réacheminement du trafic lorsque les valeurs seuils sont dépassées.
• Lors de l'encapsulation du trafic dans GRE/IPSec, ils utilisent le mécanisme industriel déjà établi pour transférer les marquages ​​DSCP internes vers l'en-tête de paquet GRE/IPSEC externe, ce qui permet de synchroniser les politiques de QoS de l'organisation et de l'opérateur télécom (s'il existe un SLA approprié). .

En quoi les métriques de bout en bout du SD-WAN et du DMVPN/PfR diffèrent-elles ?

DMVPN/PfR

• Des capteurs logiciels actifs et passifs (sondes) sont utilisés pour évaluer les mesures standard de santé des tunnels. Les actifs sont basés sur le trafic des utilisateurs, les passifs émulent ce trafic (en son absence).
• Il n'y a pas de réglage fin des minuteries et des conditions de détection de dégradation - l'algorithme est fixe.
• De plus, la mesure de la bande passante utilisée dans le sens sortant est disponible. Ce qui ajoute une flexibilité supplémentaire de gestion du trafic au DMVPN/PfR.
• Dans le même temps, certains mécanismes PfR, lorsque les métriques sont dépassées, s'appuient sur une signalisation de retour sous la forme de messages spéciaux TCA (Threshold Crossing Alert) qui doivent provenir du destinataire du trafic vers la source, ce qui à son tour suppose que l'état du Les canaux mesurés doivent être au moins suffisants pour la transmission de tels messages TCA. Ce qui, dans la plupart des cas, ne pose pas de problème, mais ne peut évidemment pas être garanti.

SD-WAN

• Pour l'évaluation de bout en bout des métriques d'état de tunnel standard, le protocole BFD est utilisé en mode écho. Dans ce cas, aucun retour d'information spécial sous forme de TCA ou de messages similaires n'est requis : l'isolation des domaines de défaillance est maintenue. Il ne nécessite pas non plus la présence de trafic utilisateur pour évaluer l’état du tunnel.
• Il est possible d'affiner les minuteries BFD pour réguler la vitesse de réponse et la sensibilité de l'algorithme à la dégradation du canal de communication de plusieurs secondes à quelques minutes.

  

• Au moment de la rédaction, il n’y a qu’une seule session BFD dans chaque tunnel. Cela crée potentiellement moins de granularité dans l’analyse de l’état du tunnel. En réalité, cela ne peut devenir une limitation que si vous utilisez une connexion WAN basée sur un VPN MPLS L2/L3 avec un SLA QoS convenu - si le marquage DSCP du trafic BFD (après encapsulation dans IPSec/GRE) correspond à la file d'attente haute priorité dans le réseau de l'opérateur télécom, cela peut affecter la précision et la rapidité de détection des dégradations pour le trafic faiblement prioritaire. Dans le même temps, il est possible de modifier l'étiquetage BFD par défaut pour réduire le risque de telles situations. Dans les futures versions du logiciel Cisco SD-WAN, des paramètres BFD plus précis sont attendus, ainsi que la possibilité de lancer plusieurs sessions BFD dans le même tunnel avec des valeurs DSCP individuelles (pour différentes applications).
• BFD vous permet en outre d'estimer la taille maximale des paquets pouvant être transmis via un tunnel particulier sans fragmentation. Cela permet au SD-WAN d'ajuster dynamiquement des paramètres tels que MTU et TCP MSS Adjust pour tirer le meilleur parti de la bande passante disponible sur chaque liaison.
• Dans le SD-WAN, l'option de synchronisation QoS des opérateurs télécoms est également disponible, non seulement sur la base des champs DSCP L3, mais également sur la base des valeurs CoS L2, qui peuvent être automatiquement générées dans le réseau de succursales par des appareils spécialisés - par exemple, IP Téléphone (s

En quoi les capacités, les méthodes de définition et d'application des politiques AppQ diffèrent-elles ?

Politiques DMVPN/PfR :

• Défini sur le(s) routeur(s) de branche central via la ligne de commande CLI ou les modèles de configuration CLI. La génération de modèles CLI nécessite une préparation et une connaissance de la syntaxe des politiques.

  

• Défini globalement sans possibilité de configuration/modification individuelle des exigences des segments de réseau individuels.
• La génération de politiques interactives n'est pas fournie dans l'interface graphique.
• Le suivi des modifications, l'héritage et la création de plusieurs versions de stratégies pour un changement rapide ne sont pas fournis.
• Distribué automatiquement aux routeurs des succursales distantes. Dans ce cas, les mêmes canaux de communication sont utilisés que pour la transmission des données utilisateur. S'il n'y a pas de canal de communication entre la branche centrale et la branche distante, la distribution/changement de politiques est impossible.
• Ils sont utilisés sur chaque routeur et, si nécessaire, modifient le résultat des protocoles de routage standards, ayant une priorité plus élevée.
• Dans les cas où toutes les liaisons WAN de succursale subissent une perte de trafic importante, aucun mécanisme de compensation n'est prévu.

Politiques SD-WAN :

• Défini dans l'interface graphique de vManage via l'assistant de modèle interactif.
• Prend en charge la création de plusieurs politiques, la copie, l'héritage et le basculement entre les politiques en temps réel.
• Prend en charge les paramètres de stratégie individuels pour différents segments de réseau (branches)
• Ils sont distribués en utilisant n'importe quel canal de signal disponible entre le contrôleur et le routeur et/ou vSmart - ne dépendent pas directement de la connectivité du plan de données entre les routeurs. Bien entendu, cela nécessite une connectivité IP entre le routeur lui-même et les contrôleurs.

  

• Dans les cas où toutes les branches disponibles d'une branche subissent des pertes de données importantes dépassant les seuils acceptables pour les applications critiques, il est possible d'utiliser des mécanismes supplémentaires qui augmentent la fiabilité de la transmission :
  • FEC (correction d'erreur directe) – utilise un algorithme de codage redondant spécial. Lors de la transmission d'un trafic critique sur des canaux présentant un pourcentage de pertes important, le FEC peut être automatiquement activé et permet, si nécessaire, de restaurer la partie perdue des données. Cela augmente légèrement la bande passante de transmission utilisée, mais améliore considérablement la fiabilité.

    

  • Duplication des flux de données – En plus du FEC, la politique peut prévoir une duplication automatique du trafic des applications sélectionnées en cas de niveaux de pertes encore plus graves qui ne peuvent être compensés par le FEC. Dans ce cas, les données sélectionnées seront transmises via tous les tunnels vers la branche de réception avec déduplication ultérieure (suppression de copies supplémentaires de paquets). Le mécanisme augmente considérablement l'utilisation du canal, mais augmente également considérablement la fiabilité de la transmission.

Capacités Cisco SD-WAN, sans analogues directs dans DMVPN/PfR

L'architecture de la solution Cisco SD-WAN permet dans certains cas d'obtenir des fonctionnalités soit extrêmement difficiles à mettre en œuvre au sein de DMVPN/PfR, soit peu pratiques en raison des coûts de main d'œuvre requis, soit totalement impossibles. Regardons les plus intéressants d'entre eux :

Ingénierie du trafic (TE)

TE inclut des mécanismes qui permettent au trafic de bifurquer du chemin standard formé par les protocoles de routage. TE est souvent utilisé pour garantir la haute disponibilité des services réseau, grâce à la capacité de transférer rapidement et/ou de manière proactive le trafic critique vers un chemin de transmission alternatif (disjoint), afin d'assurer une meilleure qualité de service ou une rapidité de récupération en cas de panne. sur le chemin principal.

La difficulté de la mise en œuvre de TE réside dans la nécessité de calculer et de réserver (vérifier) ​​un chemin alternatif à l'avance. Dans les réseaux MPLS des opérateurs télécoms, ce problème est résolu grâce à des technologies telles que MPLS Traffic-Engineering avec des extensions des protocoles IGP et RSVP. Récemment également, la technologie de routage de segments, davantage optimisée pour une configuration et une orchestration centralisées, est devenue de plus en plus populaire. Dans les réseaux WAN classiques, ces technologies ne sont généralement pas représentées ou sont réduites à l'utilisation de mécanismes saut par saut comme le Policy-Based Routing (PBR), qui sont capables de bifurquer le trafic, mais implémentent cela sur chaque routeur séparément - sans prendre en compte le trafic. en compte l'état global du réseau ou le résultat PBR dans les étapes précédentes ou suivantes. Le résultat de l'utilisation de ces options TE est décevant - MPLS TE, en raison de la complexité de configuration et de fonctionnement, n'est généralement utilisé que dans la partie la plus critique du réseau (noyau), et PBR est utilisé sur des routeurs individuels sans la possibilité de créer une politique PBR unifiée pour l’ensemble du réseau. Évidemment, cela s’applique également aux réseaux basés sur DMVPN.

Le SD-WAN offre à cet égard une solution beaucoup plus élégante, non seulement facile à configurer, mais également bien mieux évolutive. Ceci est le résultat des architectures de plan de contrôle et de plan de politique utilisées. La mise en œuvre d'un plan politique dans le SD-WAN vous permet de définir de manière centralisée la politique TE : quel trafic est intéressant ? pour quels VPN ? Par quels nœuds/tunnels est-il nécessaire ou au contraire interdit de former un itinéraire alternatif ? À son tour, la centralisation de la gestion du plan de contrôle basée sur les contrôleurs vSmart vous permet de modifier les résultats du routage sans recourir aux paramètres des périphériques individuels - les routeurs ne voient déjà que le résultat de la logique générée dans l'interface vManage et transférée pour utilisation vers vSmart.

Chaînage de services

La formation de chaînes de services est une tâche encore plus laborieuse dans le routage classique que le mécanisme d'ingénierie du trafic déjà décrit. En effet, dans ce cas, il faut non seulement créer une route spéciale pour une application réseau spécifique, mais aussi s'assurer de la possibilité de supprimer le trafic du réseau sur certains (ou tous) les nœuds du réseau SD-WAN pour le traitement par une application ou un service spécial (Firewall, Balancing, Caching, Inspection traffic, etc.). Dans le même temps, il est nécessaire de pouvoir contrôler l'état de ces services externes afin d'éviter les situations de black-holing, et des mécanismes sont également nécessaires pour permettre à ces services externes du même type d'être placés dans des géolocalisations différentes. avec la capacité du réseau à sélectionner automatiquement le nœud de service le plus optimal pour traiter le trafic d'une branche particulière . Dans le cas de Cisco SD-WAN, cela est assez facile à réaliser en créant une politique centralisée appropriée qui « colle » tous les aspects de la chaîne de services cible en un seul tout et modifie automatiquement la logique du plan de données et du plan de contrôle uniquement là où et quand cela est nécessaire.

La possibilité de créer un traitement géodistribué du trafic de types d'applications sélectionnés dans un certain ordre sur des équipements spécialisés (mais non liés au réseau SD-WAN lui-même) est peut-être la démonstration la plus claire des avantages du Cisco SD-WAN par rapport au réseau SD-WAN classique. technologies et même certaines solutions SD alternatives -WAN d'autres fabricants.

Le résultat?

Évidemment, DMVPN (avec ou sans Performance Routing) et Cisco SD-WAN finir par résoudre des problèmes très similaires en relation avec le réseau WAN distribué de l'organisation. Dans le même temps, des différences architecturales et fonctionnelles significatives dans la technologie Cisco SD-WAN conduisent au processus de résolution de ces problèmes. à un autre niveau de qualité. Pour résumer, on peut noter les différences significatives suivantes entre les technologies SD-WAN et DMVPN/PfR :

• DMVPN/PfR utilise généralement des technologies éprouvées pour créer des réseaux VPN superposés et, en termes de plan de données, sont similaires à la technologie SD-WAN plus moderne. Cependant, il existe un certain nombre de limitations sous la forme d'une configuration statique obligatoire. de routeurs et le choix des topologies est limité à Hub-n-Spoke. D’un autre côté, DMVPN/PfR possède certaines fonctionnalités qui ne sont pas encore disponibles au sein du SD-WAN (nous parlons de BFD par application).
• Au sein du plan de contrôle, les technologies diffèrent fondamentalement. Compte tenu du traitement centralisé des protocoles de signalisation, le SD-WAN permet notamment de restreindre considérablement les domaines de défaillance et de « découpler » le processus de transmission du trafic utilisateur de l'interaction de signalisation - l'indisponibilité temporaire des contrôleurs n'affecte pas la capacité à transmettre le trafic utilisateur. . Dans le même temps, l'indisponibilité temporaire d'une branche (y compris celle centrale) n'affecte en rien la capacité des autres branches à interagir entre elles et avec les contrôleurs.
• L'architecture pour la formation et l'application des politiques de gestion du trafic dans le cas du SD-WAN est également supérieure à celle du DMVPN/PfR - la géo-réservation est bien mieux mise en œuvre, il n'y a pas de connexion au Hub, il y a plus de possibilités d'amende -des politiques de réglage, la liste des scénarios de gestion du trafic mis en œuvre est également beaucoup plus longue.
• Le processus d’orchestration de la solution est également très différent. DMVPN suppose la présence de paramètres préalablement connus qui doivent être reflétés d'une manière ou d'une autre dans la configuration, ce qui limite quelque peu la flexibilité de la solution et la possibilité de changements dynamiques. À son tour, le SD-WAN est basé sur le paradigme selon lequel au moment initial de la connexion, le routeur « ne sait rien » de ses contrôleurs, mais sait « à qui vous pouvez demander » - cela suffit non seulement pour établir automatiquement la communication avec les contrôleurs, mais également pour former automatiquement une topologie de plan de données entièrement connectée, qui peut ensuite être configurée/modifiée de manière flexible à l'aide de politiques.
• En termes de gestion centralisée, d'automatisation et de surveillance, le SD-WAN devrait surpasser les capacités du DMVPN/PfR, qui ont évolué à partir des technologies classiques et s'appuient davantage sur la ligne de commande CLI et sur l'utilisation de systèmes NMS basés sur des modèles.
• Dans le SD-WAN, par rapport au DMVPN, les exigences de sécurité ont atteint un niveau qualitatif différent. Les grands principes sont le zéro confiance, l’évolutivité et l’authentification à deux facteurs.

Ces simples conclusions peuvent donner la fausse impression que la création d’un réseau basé sur DMVPN/PfR a perdu toute pertinence aujourd’hui. Ce n’est bien sûr pas entièrement vrai. Par exemple, dans les cas où le réseau utilise beaucoup d'équipements obsolètes et qu'il n'y a aucun moyen de les remplacer, DMVPN peut vous permettre de combiner des appareils « anciens » et « nouveaux » en un seul réseau géodistribué avec de nombreux avantages décrits. au-dessus de.

D'autre part, il convient de rappeler que tous les routeurs d'entreprise Cisco actuels basés sur IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) prennent aujourd'hui en charge n'importe quel mode de fonctionnement - aussi bien le routage classique que le DMVPN et le SD-WAN - le choix est déterminé par les besoins actuels et par la compréhension qu'à tout moment, en utilisant le même équipement, vous pouvez commencer à évoluer vers une technologie plus avancée.

Source: habr.com