ProHoster > Blog > Bestjoer > Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Sûnt augustus 2017, doe't Cisco Viptela oankocht, is de wichtichste technology oanbean foar it organisearjen fan ferspraat ûndernimmingsnetwurken wurden Cisco SD-WAN. Yn 'e ôfrûne 3 jier hat SD-WAN-technology in protte feroaringen trochmakke, sawol kwalitatyf as kwantitatyf. Sa is de funksjonaliteit signifikant útwreide en is stipe ferskynde op klassike routers fan 'e searje Cisco ISR 1000, ISR 4000, ASR 1000 en Virtual CSR 1000v. Tagelyk bliuwe in protte Cisco-klanten en partners har ôffreegje: wat binne de ferskillen tusken Cisco SD-WAN en al bekende oanpak basearre op technologyen lykas Cisco DMVPN и Cisco Performance Routing en hoe wichtich binne dizze ferskillen?

Hjir moatte wy fuortendaliks in reservearje meitsje dat foar de komst fan SD-WAN yn 'e Cisco portefúlje, DMVPN tegearre mei PfR in wichtich part foarme yn' e arsjitektuer Cisco IWAN (Intelligent WAN), dy't op syn beurt de foargonger wie fan folsleine SD-WAN-technology. Nettsjinsteande de algemiene oerienkomst fan sawol de taken dy't wurde oplost as de metoaden foar it oplossen se, IWAN hat nea krigen it nivo fan automatisearring, fleksibiliteit en scalability nedich foar SD-WAN, en oer de tiid, de ûntwikkeling fan IWAN is signifikant ôfnommen. Tagelyk binne de technologyen dy't IWAN foarmje, net ferdwûn, en in protte klanten bliuwe se mei súkses brûke, ynklusyf op moderne apparatuer. As gefolch is in nijsgjirrige situaasje ûntstien - deselde Cisco-apparatuer kinne jo de meast geskikte WAN-technology (klassyk, DMVPN + PfR of SD-WAN) kieze yn oerienstimming mei de easken en ferwachtingen fan klanten.

It artikel is net fan doel om alle funksjes fan Cisco SD-WAN en DMVPN technologyen (mei of sûnder Performance Routing) yn detail te analysearjen - d'r is in enoarm bedrach fan beskikbere dokuminten en materialen foar dit. De wichtichste taak is om te besykjen om de wichtichste ferskillen tusken dizze technologyen te evaluearjen. Mar foardat jo trochgean mei it besprekken fan dizze ferskillen, litte wy de technologyen sels koart ûnthâlde.

Wat is Cisco DMVPN en wêrom is it nedich?

Cisco DMVPN lost it probleem op fan dynamyske (= skalberbere) ferbining fan in filiaal op ôfstân nei it netwurk fan it sintrale kantoar fan in ûndernimming by it brûken fan willekeurige soarten kommunikaasjekanalen, ynklusyf it ynternet (= mei fersifering fan it kommunikaasjekanaal). Technysk wurdt dit realisearre troch it meitsjen fan in virtualisearre overlay-netwurk fan L3 VPN-klasse yn punt-nei-multipoint-modus mei in logyske topology fan it type "Star" (Hub-n-Spoke). Om dit te berikken brûkt DMVPN in kombinaasje fan de folgjende technologyen:

  • IP routing
  • Multipoint GRE-tunnels (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Krypto-profilen

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Wat binne de wichtichste foardielen fan Cisco DMVPN yn ferliking mei klassike routing mei MPLS VPN-kanalen?

  • Om in interbranch netwurk te meitsjen, is it mooglik om alle kommunikaasjekanalen te brûken - alles dat IP-ferbining tusken tûken kin leverje is geskikt, wylst it ferkear fersifere wurdt (wêr nedich) en balansearre (wêr mooglik)
  • In folslein ferbûn topology tusken tûken wurdt automatysk foarme. Tagelyk binne d'r statyske tunnels tusken de sintrale en op ôfstân tûken, en dynamyske tunnels op fraach tusken de tûken op ôfstân (as d'r ferkear is)
  • De routers fan 'e sintrale en remote branch hawwe deselde konfiguraasje oant de IP-adressen fan' e ynterfaces. Troch mGRE te brûken, is d'r gjin needsaak om tsientallen, hûnderten of sels tûzenen tunnels yndividueel te konfigurearjen. As gefolch, fatsoenlike skaalberens mei it juste ûntwerp.

Wat is Cisco Performance Routing en wêrom is it nedich?

By it brûken fan DMVPN op in ynterbranchnetwurk, bliuwt ien ekstreem wichtige fraach net oplost - hoe kinne jo de steat fan elk fan 'e DMVPN-tunnels dynamysk beoardielje foar it neilibjen fan' e easken fan ferkear kritysk foar ús organisaasje en, op 'e nij, basearre op sa'n beoardieling, dynamysk meitsje in beslút oer rerouting? It feit is dat DMVPN yn dit diel net folle ferskilt fan klassike routing - it bêste dat kin wurde dien is om QoS-meganismen te konfigurearjen dy't jo it ferkear yn 'e útgeande rjochting kinne prioritearje, mar op gjin inkelde manier yn steat binne om rekken te hâlden mei de steat fan it hiele paad op ien of oare stuit.

En wat te dwaan as it kanaal foar in part en net folslein degradearret - hoe kinne jo dit opspoare en evaluearje? DMVPN sels kin dit net dwaan. Yn betinken nommen dat de kanalen dy't tûken ferbine kinne troch folslein ferskillende telekomoperators passe, mei folslein oare technologyen, wurdt dizze taak ekstreem net-trivial. En dit is wêr Cisco Performance Routing technology komt ta de rêding, dy't op dat stuit hie al gien troch ferskate stadia fan ûntwikkeling.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

De taak fan Cisco Performance Routing (hjirnei PfR) komt del op it mjitten fan de steat fan paden (tunnels) fan ferkear basearre op wichtige metriken dy't wichtich binne foar netwurkapplikaasjes - latency, latency fariaasje (jitter) en pakketferlies (persintaazje). Derneist kin de brûkte bânbreedte wurde mjitten. Dizze mjittingen komme sa ticht mooglik by echte tiid en terjochte, en it resultaat fan dizze mjittingen lit de router mei PfR dynamysk besluten nimme oer de needsaak om de rûte fan dit of dat soarte ferkear te feroarjen.

Sa kin de taak fan de DMVPN/PfR-kombinaasje koart beskreaun wurde as folget:

  • Lit de klant alle kommunikaasjekanalen op it WAN-netwurk brûke
  • Soargje foar de heechst mooglike kwaliteit fan krityske applikaasjes op dizze kanalen

Wat is Cisco SD-WAN?

Cisco SD-WAN is in technology dy't de SDN-oanpak brûkt om it WAN-netwurk fan in organisaasje te meitsjen en te betsjinjen. Dit betsjut benammen it brûken fan saneamde controllers (software eleminten), dy't soargje sintralisearre orkestraasje en automatisearre konfiguraasje fan alle oplossing ûnderdielen. Oars as de kanonike SDN (Clean Slate-styl), brûkt Cisco SD-WAN ferskate soarten controllers, dy't elk har eigen rol útfiere - dit waard mei opsetsin dien om bettere skalberens en geo-redundânsje te leverjen.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Yn it gefal fan SD-WAN bliuwt de taak om alle soarten kanalen te brûken en de wurking fan saaklike applikaasjes te garandearjen itselde, mar tagelyk wreidzje de easken foar automatisearring, skalberens, feiligens en fleksibiliteit fan sa'n netwurk út.

Diskusje oer ferskillen

As wy no begjinne om de ferskillen tusken dizze technologyen te analysearjen, sille se yn ien fan 'e folgjende kategoryen falle:

  • Arsjitektoanyske ferskillen - hoe binne funksjes ferdield oer ferskate komponinten fan 'e oplossing, hoe is de ynteraksje fan sokke komponinten organisearre, en hoe hat dit ynfloed op de mooglikheden en fleksibiliteit fan' e technology?
  • Funksjonaliteit - wat kin ien technology dwaan dat in oare net kin? En is it echt sa wichtich?

Wat binne de arsjitektoanyske ferskillen en binne se wichtich?

Elk fan dizze technologyen hat in protte "bewegende dielen" dy't ferskille net allinich yn har rollen, mar ek yn hoe't se mei elkoar omgean. Hoe goed dizze prinsipes wurde trochtocht en de algemiene meganika fan 'e oplossing bepale direkt har skalberens, fouttolerânsje en algemiene effisjinsje.

Litte wy de ferskate aspekten fan 'e arsjitektuer yn mear detail sjen:

Data-fleantúch - diel fan 'e oplossing ferantwurdlik foar it ferstjoeren fan brûkersferkear tusken de boarne en de ûntfanger. DMVPN en SD-WAN wurde algemien identyk ymplementearre op 'e routers sels basearre op Multipoint GRE-tunnels. It ferskil is hoe't de needsaaklike set fan parameters foar dizze tunnels wurdt foarme:

  • в DMVPN/PfR is in eksklusyf twa-nivo hierargy fan knopen mei in Star of Hub-n-Spoke topology. Statyske konfiguraasje fan 'e Hub en statyske bining fan Spoke oan' e Hub binne fereaske, lykas ynteraksje fia it NHRP-protokol om ferbining mei gegevensfleanen te foarmjen. Dêrtroch, feroarings oan 'e Hub signifikant dreger meitsjerelatearre, bygelyks, te feroarjen / ferbinen nije WAN kanalen of feroarjen fan de parameters fan besteande.
  • в SD WAN is in folslein dynamysk model foar it opspoaren fan parameters fan ynstallearre tunnels basearre op kontrôle-fleantúch (OMP-protokol) en orkestraasje-fleantúch (ynteraksje mei de vBond-controller foar kontrôlerdeteksje en NAT-traversaltaken). Yn dit gefal kinne alle boppesteande topologyen brûkt wurde, ynklusyf hiërargyske. Binnen de fêststelde overlay-tunneltopology is fleksibele konfiguraasje fan 'e logyske topology yn elke yndividuele VPN (VRF) mooglik.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Kontrole-fleantúch - funksjes fan útwikseling, filterjen en wizigjen fan routing en oare ynformaasje tusken oplossingskomponinten.

  • в DMVPN/PfR - allinich útfierd tusken Hub- en Spoke-routers. Direkte útwikseling fan rûteynformaasje tusken Spokes is net mooglik. Dêrtroch, Sûnder in funksjonearjende Hub kinne it kontrôlefleanmasine en gegevensfleantúch net funksjonearje, dy't ekstra hege beskikberens easken stelt oan 'e Hub dy't net altyd foldien wurde kinne.
  • в SD WAN - kontrôle-fleantúch wurdt nea direkt útfierd tusken routers - ynteraksje fynt plak op basis fan it OMP-protokol en wurdt needsaaklikerwize útfierd fia in apart spesjalisearre type vSmart-controller, dy't de mooglikheid biedt fan balansearjen, geo-reservearjen en sintralisearre kontrôle fan 'e sinjaal load. In oar skaaimerk fan it OMP-protokol is har signifikante ferset tsjin ferliezen en ûnôfhinklikens fan 'e snelheid fan it kommunikaasjekanaal mei controllers (binnen ridlike grinzen, fansels). Wat like suksesfol kinne jo pleatse SD-WAN controllers yn iepenbiere of privee wolken mei tagong fia it ynternet.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Beliedsflak - diel fan 'e oplossing ferantwurdlik foar it definiearjen, fersprieden en tapassen fan ferkearsbehearbelied op in ferspraat netwurk.

  • DMVPN - wurdt effektyf beheind troch kwaliteit fan tsjinst (QoS) belied yndividueel konfigurearre op elke router fia de CLI of Prime Infrastructure sjabloanen.
  • DMVPN/PfR - PfR-belied wurdt foarme op 'e sintralisearre Master Controller (MC) router fia de CLI en dan automatysk ferspraat oan branch MC's. Yn dit gefal wurde deselde beliedsferfierpaden brûkt as foar it gegevensfleantúch. D'r is gjin mooglikheid om de útwikseling fan belied, routing-ynformaasje en brûkersgegevens te skieden. Beliedspropagaasje fereasket de oanwêzigens fan IP-ferbining tusken de Hub en Spoke. Yn dit gefal kin de MC-funksje, as it nedich is, kombineare wurde mei in DMVPN-router. It is mooglik (mar net ferplicht) om Prime Infrastructure-sjabloanen te brûken foar sintralisearre beliedsgeneraasje. In wichtich skaaimerk is dat it belied wrâldwiid wurdt foarme yn it heule netwurk op deselde manier - Yndividueel belied foar yndividuele segminten wurde net stipe.
  • SD WAN - ferkear behear en kwaliteit fan tsjinst belied wurde sintraal bepaald troch de Cisco vManage grafyske ynterface, ek tagonklik fia it ynternet (as nedich). Se wurde ferspraat fia sinjaalkanalen direkt of yndirekt fia vSmart-controllers (ôfhinklik fan it type belied). Se binne net ôfhinklik fan data-plane ferbining tusken routers, omdat brûk alle beskikbere ferkearspaden tusken de controller en de router.

    Foar ferskate netwurksegminten is it mooglik om ferskate belied fleksibel te formulearjen - de omfang fan it belied wurdt bepaald troch in protte unike identifiers foarsjoen yn 'e oplossing - filiaalnûmer, applikaasjetype, ferkearsrjochting, ensfh.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Orkestraasje-fleantúch - meganismen wêrtroch komponinten inoar dynamysk opspoare kinne, konfigurearje en koördinearje folgjende ynteraksjes.

  • в DMVPN/PfR Underlinge ûntdekking tusken routers is basearre op de statyske konfiguraasje fan Hub-apparaten en de oerienkommende konfiguraasje fan Spoke-apparaten. Dynamyske ûntdekking komt allinich foar Spoke, dy't har Hub-ferbiningsparameters rapportearret oan it apparaat, dat op syn beurt foarôf konfigureare is mei Spoke. Sûnder IP-ferbining tusken Spoke en op syn minst ien Hub is it ûnmooglik om in data-fleantúch of in kontrôle-fleantúch te foarmjen.
  • в SD WAN orkestraasje fan oplossingskomponinten komt foar mei de vBond-controller, wêrmei elke komponint (routers en vManage / vSmart-controllers) earst IP-ferbining moatte fêstigje.

    Yn earste ynstânsje witte de komponinten net oer inoars ferbiningsparameters - dêrfoar hawwe se de vBond-yntermediaire orkestrator nedich. It algemiene prinsipe is as folget - elke komponint yn 'e begjinfaze leart (automatysk of statysk) allinich oer de ferbiningsparameters nei vBond, dan ynformearret vBond de router oer de vManage- en vSmart-controllers (earder ûntdutsen), wat it mooglik makket om automatysk te fêstigjen alle nedige signaling ferbinings.

    De folgjende stap is foar de nije router om te learen oer de oare routers op it netwurk fia OMP-kommunikaasje mei de vSmart-controller. Sa kin de router, sûnder ynearsten hielendal wat te witten oer de netwurkparameters, folslein automatysk te ûntdekken en te ferbinen mei controllers en dan ek automatysk ferbining te ûntdekken en te foarmjen mei oare routers. Yn dit gefal binne de ferbiningsparameters fan alle komponinten yn earste ynstânsje ûnbekend en kinne ûnder operaasje feroarje.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Management-fleantúch - diel fan 'e oplossing dy't sintralisearre behear en tafersjoch leveret.

  • DMVPN/PfR - gjin spesjalisearre oplossing foar managementplane wurdt levere. Foar basale automatisearring en tafersjoch kinne produkten lykas Cisco Prime Infrastructure brûkt wurde. Elke router hat de mooglikheid om te kontrolearjen fia de CLI kommandorigel. Yntegraasje mei eksterne systemen fia API wurdt net foarsjoen.
  • SD WAN - alle reguliere ynteraksje en tafersjoch wurdt sintraal útfierd fia de grafyske ynterface fan 'e vManage-controller. Alle funksjes fan 'e oplossing, sûnder útsûndering, binne beskikber foar konfiguraasje fia vManage, lykas fia in folslein dokuminteare REST API-bibleteek.

    Alle SD-WAN netwurk ynstellings yn vManage komme del op twa wichtichste konstruksjes - de foarming fan apparaat sjabloanen (Device Template) en de foarming fan in belied dat bepaalt de logika fan netwurk operaasje en ferkear ferwurking. Tagelyk, vManage, útstjoering fan it belied generearre troch de behearder, automatysk selektearret hokker feroarings en op hokker yndividuele apparaten / controllers moatte wurde makke, wat gâns fergruttet de effisjinsje en scalability fan de oplossing.

    Troch de vManage-ynterface is net allinich konfiguraasje fan 'e Cisco SD-WAN-oplossing beskikber, mar ek folsleine tafersjoch fan' e status fan alle komponinten fan 'e oplossing, oant de hjoeddeistige steat fan metriken foar yndividuele tunnels en statistiken oer it gebrûk fan ferskate applikaasjes basearre op DPI analyze.

    Nettsjinsteande de sintralisaasje fan ynteraksje hawwe alle komponinten (controllers en routers) ek in folslein funksjonele CLI-kommando-rigel, dy't nedich is yn 'e ymplemintaasjestadium of yn gefal fan in need foar lokale diagnostyk. Yn normale modus (as d'r in sinjaalkanaal tusken komponinten is) op routers is de kommandorigel allinich beskikber foar diagnostyk en is net beskikber foar it meitsjen fan lokale wizigingen, wat lokale feiligens garandearret en de ienige boarne fan feroaringen yn sa'n netwurk is vManage.

Yntegrearre Feiligens - hjir moatte wy net allinich prate oer de beskerming fan brûkersgegevens by it oerdragen oer iepen kanalen, mar ek oer de algemiene feiligens fan it WAN-netwurk basearre op de selektearre technology.

  • в DMVPN/PfR It is mooglik om brûkersgegevens en sinjaalprotokollen te fersiferjen. By it brûken fan bepaalde router modellen, firewall funksjes mei ferkear ynspeksje, IPS / IDS binne ek beskikber. It is mooglik om branchnetwurken te segmentearjen mei VRF. It is mooglik om (ien-faktor) kontrôleprotokollen te autentisearjen.

    Yn dit gefal wurdt de router op ôfstân as standert beskôge as in fertroud elemint fan it netwurk - d.w.s. gefallen fan fysike kompromis fan yndividuele apparaten en de mooglikheid fan net autorisearre tagong ta harren wurde net oannommen of rekken holden der gjin twa-faktor autentikaasje fan oplossing komponinten, dy't yn it gefal fan in geografysk ferspraat netwurk kin wichtige ekstra risiko's drage.

  • в SD WAN nei analogy mei DMVPN wurdt de mooglikheid om brûkersgegevens te fersiferjen levere, mar mei signifikant útwreide netwurkfeiligens en L3/VRF-segmentaasjefunksjes (firewall, IPS/IDS, URL-filtering, DNS-filtering, AMP/TG, SASE, TLS/SSL-proxy, ensfh.) d.). Tagelyk wurdt de útwikseling fan fersiferingskaaien effisjinter útfierd fia vSmart-controllers (ynstee fan direkt), fia foarôf fêststelde sinjaalkanalen beskerme troch DTLS / TLS-fersifering basearre op feiligenssertifikaten. Wat op syn beurt de feiligens fan sokke útwikselingen garandearret en soarget foar bettere skalberens fan 'e oplossing oant tsientûzenen apparaten op itselde netwurk.

    Alle sinjaalferbiningen (controller-to-controller, controller-router) wurde ek beskerme basearre op DTLS / TLS. Routers binne foarsjoen fan feiligens sertifikaten tidens produksje mei de mooglikheid fan ferfanging / útwreiding. Twa-faktor autentikaasje wurdt berikt troch de ferplichte en simultane ferfolling fan twa betingsten foar de router / controller om te funksjonearjen yn in SD-WAN netwurk:

    • Jildich feiligens sertifikaat
    • Eksplisite en bewuste opname troch de behearder fan elke komponint yn 'e "wite" list fan tastiene apparaten.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Funksjonele ferskillen tusken SD-WAN en DMVPN / PfR

Trochgean nei in diskusje oer funksjonele ferskillen, moat opmurken wurde dat in protte fan harren in fuortsetting binne fan arsjitektoanyske - it is gjin geheim dat by it foarmjen fan de arsjitektuer fan in oplossing ûntwikkelders begjinne fan 'e mooglikheden dy't se op it lêst wolle krije . Litte wy sjen nei de meast wichtige ferskillen tusken de twa technologyen.

AppQ (Application Quality) - funksjes om de kwaliteit fan oerdracht fan bedriuwsapplikaasjeferkear te garandearjen

De kaaifunksjes fan 'e technologyen dy't beskôge wurde binne rjochte op it ferbetterjen fan de brûkersûnderfining safolle mooglik by it brûken fan saaklike krityske applikaasjes yn in ferspraat netwurk. Dit is benammen wichtich yn betingsten dêr't in part fan 'e ynfrastruktuer net wurdt kontrolearre troch IT of net iens garandearje suksesfolle gegevens oerdracht.

DMVPN leveret sels sokke meganismen net. It bêste dat kin wurde dien yn in klassyk DMVPN-netwurk is om útgeand ferkear te klassifisearjen troch applikaasje en it prioritearje as it wurdt oerbrocht nei it WAN-kanaal. De kar fan in DMVPN-tunnel wurdt yn dit gefal allinich bepaald troch syn beskikberens en it resultaat fan 'e wurking fan routingprotokollen. Tagelyk wurde de ein-oan-ein-tastân fan it paad/tunnel en de mooglike parsjele degradaasje net yn rekken brocht yn termen fan wichtige metriken dy't wichtich binne foar netwurkapplikaasjes - fertraging, fertragingsfariaasje (jitter) en ferliezen (% ). Yn dit ferbân ferliest it direkt fergelykjen fan klassike DMVPN mei SD-WAN yn termen fan it oplossen fan AppQ-problemen alle betsjutting - DMVPN kin dit probleem net oplosse. As jo ​​tafoegje Cisco Performance Routing (PfR) technology yn dizze kontekst, feroaret de situaasje en de ferliking mei Cisco SD-WAN wurdt mear betsjuttingsfolle.

Foardat wy de ferskillen besprekke, is hjir in rappe blik op hoe't de technologyen ferlykber binne. Dus, beide technologyen:

  • hawwe in meganisme wêrmei jo de steat fan elke fêststelde tunnel dynamysk kinne beoardielje yn termen fan bepaalde metriken - op syn minst fertraging, fertragingsfariaasje en pakketferlies (%)
  • brûke in spesifike set ark foar it foarmjen, fersprieden en tapassen fan ferkearsbehearregels (belied), rekken hâldend mei de resultaten fan it mjitten fan 'e steat fan wichtige tunnelmetriken.
  • klassifisearje applikaasjeferkear op nivo's L3-L4 (DSCP) fan it OSI-model of troch L7-applikaasje-hantekeningen basearre op DPI-meganismen ynboud yn 'e router
  • Foar wichtige tapassingen kinne jo akseptabele drompelwearden fan metriken bepale, regels foar it ferstjoeren fan ferkear standert, en regels foar it omlizzen fan ferkear as drompelwearden wurde oertroffen.
  • By it ynkapseljen fan ferkear yn GRE / IPSec, brûke se it al fêststelde yndustrymeganisme foar it oerdragen fan ynterne DSCP-markearrings nei de eksterne GRE / IPSEC-pakketkoptekst, wêrtroch't it QoS-belied fan 'e organisaasje en de telekomoperator syngronisearje kin (as d'r in passende SLA is) .

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

Hoe ferskille SD-WAN en DMVPN/PfR end-to-end metriken?

DMVPN/PfR

  • Sawol aktive as passive softwaresensors (Probes) wurde brûkt om standert tunnel sûnensmetriken te evaluearjen. Aktive binne basearre op brûkersferkear, passive emulearje sa'n ferkear (yn syn ôfwêzigens).
  • D'r is gjin fine-tuning fan timers en betingsten foar degradaasjedeteksje - it algoritme is fêst.
  • Derneist is mjitting fan brûkte bânbreedte yn 'e útgeande rjochting beskikber. Wat ekstra fleksibiliteit foar ferkearsbehear foeget oan DMVPN / PfR.
  • Tagelyk fertrouwe guon PfR-meganismen, as metriken wurde oerskreden, op feedback-sinjalearring yn 'e foarm fan spesjale TCA-berjochten (Threshold Crossing Alert) dy't moatte komme fan' e ferkearsûntfanger nei de boarne, dy't op syn beurt oannimt dat de steat fan 'e mjitten kanalen moatte op syn minst genôch wêze foar oerdracht fan sokke TCA-berjochten. Wat yn de measte gefallen is gjin probleem, mar fansels kin net garandearre.

SD WAN

  • Foar end-to-end evaluaasje fan standert tunnel steat metrics, it BFD protokol wurdt brûkt yn echo modus. Yn dit gefal is spesjale feedback yn 'e foarm fan TCA of ferlykbere berjochten net nedich - isolaasje fan mislearre domeinen wurdt bewarre. It fereasket ek de oanwêzigens fan brûkersferkear net om de tunnelstatus te evaluearjen.
  • It is mooglik om BFD-timers te fine-tunen om de antwurdsnelheid en gefoelichheid fan it algoritme te regeljen foar degradaasje fan it kommunikaasjekanaal fan ferskate sekonden oant minuten.

    Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

  • Op it stuit fan dit skriuwen is d'r mar ien BFD-sesje yn elke tunnel. Dit makket mooglik minder granulariteit yn analyse fan tunnelstaten. Yn werklikheid kin dit allinich in beheining wurde as jo in WAN-ferbining brûke basearre op MPLS L2 / L3 VPN mei in ôfpraat QoS SLA - as de DSCP-markearring fan BFD-ferkear (nei ynkapseling yn IPSec / GRE) oerienkomt mei de wachtrige mei hege prioriteit yn it netwurk fan de telekomoperator, dan kin dit ynfloed hawwe op de krektens en snelheid fan degradaasjedeteksje foar ferkear mei lege prioriteit. Tagelyk is it mooglik om de standert BFD-labeling te feroarjen om it risiko fan sokke situaasjes te ferminderjen. Yn takomstige ferzjes fan Cisco SD-WAN-software wurde mear fine-tuned BFD-ynstellingen ferwachte, lykas de mooglikheid om meardere BFD-sesjes binnen deselde tunnel te starten mei yndividuele DSCP-wearden (foar ferskate applikaasjes).
  • BFD lit jo ek de maksimale pakketgrutte skatten dy't kin wurde oerdroegen troch in bepaalde tunnel sûnder fragmintaasje. Hjirmei kinne SD-WAN parameters dynamysk oanpasse lykas MTU en TCP MSS Adjust om it measte út de beskikbere bânbreedte op elke keppeling te meitsjen.
  • Yn SD-WAN is de opsje fan QoS-syngronisaasje fan telekomoperators ek beskikber, net allinich basearre op L3 DSCP-fjilden, mar ek basearre op L2 CoS-wearden, dy't automatysk kinne wurde generearre yn it branchnetwurk troch spesjalisearre apparaten - bygelyks IP telefoans

Hoe ferskille de mooglikheden, metoaden foar it definiearjen en tapassen fan AppQ-belied?

DMVPN/PfR-belied:

  • Definearre op de sintrale branch router (s) fia de CLI kommando rigel of CLI konfiguraasje sjabloanen. It generearjen fan CLI-sjabloanen fereasket tarieding en kennis fan beliedsyntaksis.

    Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

  • Definearre wrâldwiid sûnder de mooglikheid fan yndividuele konfiguraasje / feroaring oan 'e easken fan yndividuele netwurk segminten.
  • Ynteraktyf belied generaasje wurdt net levere yn de grafyske ynterface.
  • Feroarings folgje, erfenis en it meitsjen fan meardere ferzjes fan belied foar fluch wikseljen wurde net levere.
  • Automatysk ferdield nei routers fan tûken op ôfstân. Yn dit gefal wurde deselde kommunikaasjekanalen brûkt as foar it ferstjoeren fan brûkersgegevens. As d'r gjin kommunikaasjekanaal is tusken de sintrale en op ôfstân, is distribúsje / feroaring fan belied ûnmooglik.
  • Se wurde brûkt op elke router en, as it nedich is, feroarje it resultaat fan standert routingprotokollen, mei in hegere prioriteit.
  • Foar gefallen dêr't alle branch WAN-keppelings signifikant ferkearsferlies ûnderfine, gjin kompensaasje meganismen foarsjoen.

SD-WAN-belied:

  • Definearre yn de vManage GUI fia de ynteraktive sjabloan wizard.
  • Unterstützt it meitsjen fan meardere belied, kopiearjen, erven, wikselje tusken belied yn realtime.
  • Unterstützt yndividuele beliedsynstellingen foar ferskate netwurksegminten (tûken)
  • Se wurde ferspraat mei help fan alle beskikbere sinjaal kanaal tusken de controller en de router en / of vSmart - binne net direkt ôfhinklik fan de gegevens-plane ferbining tusken de routers. Dit fereasket fansels IP-ferbining tusken de router sels en de controllers.

    Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

  • Foar gefallen dêr't alle beskikbere tûken fan in branch signifikante gegevensferlies ûnderfine dy't akseptabele drompels foar krityske tapassingen oertreffe, is it mooglik om ekstra meganismen te brûken dy't de betrouberens fan oerdracht ferheegje:
    • FEC (Forward Error Correction) - brûkt in spesjaal oerstallich kodearingsalgoritme. By it ferstjoeren fan kritysk ferkear oer kanalen mei in signifikant persintaazje fan ferliezen, kin FEC automatysk aktivearre wurde en kinne, as it nedich is, it ferlerne diel fan 'e gegevens weromsette. Dit fergruttet de brûkte oerdrachtbânbreedte in bytsje, mar ferbetteret de betrouberens signifikant.

      Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

    • Duplikaasje fan gegevensstreamen - neist FEC, it belied kin soargje foar automatyske duplikaasje fan ferkear fan selektearre applikaasjes yn it gefal fan in noch mear serieuze nivo fan ferliezen dat kin net wurde kompensearre troch FEC. Yn dit gefal wurde de selekteare gegevens troch alle tunnels oerbrocht nei de ûntfangende tûke mei dêrop folgjende deduplikaasje (ekstra kopyen fan pakketten falle). It meganisme fergruttet it gebrûk fan kanaal signifikant, mar fergruttet ek de betrouberens fan oerdracht signifikant.

Cisco SD-WAN mooglikheden, sûnder direkte analogen yn DMVPN / PfR

De arsjitektuer fan 'e Cisco SD-WAN-oplossing kinne jo yn guon gefallen mooglikheden krije dy't ekstreem lestich binne om te realisearjen binnen DMVPN / PfR, of binne ûnpraktysk troch de fereaske arbeidskosten, of binne folslein ûnmooglik. Litte wy nei de meast nijsgjirrige fan har sjen:

Traffic Engineering (TE)

TE omfettet meganismen dy't tastean ferkear te tûken út it standert paad foarme troch routing protokollen. TE wurdt faak brûkt om in hege beskikberens fan netwurktsjinsten te garandearjen, troch de mooglikheid om kritysk ferkear fluch en/of proaktyf oer te bringen nei in alternatyf (disjoint) oerdrachtpaad, om te soargjen foar bettere kwaliteit fan tsjinst of snelheid fan herstel yn gefal fan mislearring op it haadpaad.

De muoite by it útfieren fan TE leit yn 'e needsaak om in alternatyf paad fan tefoaren te berekkenjen en te reservearjen (kontrolearje). Yn MPLS-netwurken fan telekomoperators wurdt dit probleem oplost mei technologyen lykas MPLS Traffic-Engineering mei útwreidingen fan de IGP-protokollen en RSVP-protokol. Ek koartlyn is Segment Routing technology, dy't mear optimalisearre is foar sintralisearre konfiguraasje en orkestraasje, hieltyd populêrder wurden. Yn klassike WAN-netwurken binne dizze technologyen normaal net fertsjintwurdige of wurde redusearre ta it gebrûk fan hop-by-hop-meganismen lykas Policy-Based Routing (PBR), dy't by steat binne om ferkear te fertakken, mar dit op elke router apart ymplementearje - sûnder te nimmen rekken hâldend mei de algemiene steat fan it netwurk of PBR resultaat yn de foarige of folgjende stappen. It resultaat fan it brûken fan dizze TE-opsjes is teloarstellend - MPLS TE, troch de kompleksiteit fan konfiguraasje en operaasje, wurdt yn 'e regel allinich brûkt yn it meast krityske diel fan it netwurk (kearn), en PBR wurdt brûkt op yndividuele routers sûnder de mooglikheid om in ienriedich PBR-belied te meitsjen foar it heule netwurk. Fansels jildt dit ek foar DMVPN-basearre netwurken.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

SD-WAN biedt yn dit ferbân in folle eleganter oplossing dy't net allinich maklik te konfigurearjen is, mar ek folle better skaleart. Dit is in gefolch fan 'e brûkte kontrôle-fleantúch- en beliedsplan-arsjitektuer. It ymplementearjen fan in beliedsflak yn SD-WAN lit jo TE-belied sintraal definiearje - hokker ferkear is fan belang? foar hokker VPN's? Troch hokker knopen/tunnels is it nedich of oarsom ferbean om in alternative rûte te foarmjen? Op syn beurt lit de sintralisaasje fan kontrôle-fleantúchbehear basearre op vSmart-controllers jo routingresultaten wizigje sûnder gebrûk te meitsjen fan de ynstellingen fan yndividuele apparaten - routers sjogge al allinich it resultaat fan 'e logika dy't waard generearre yn' e vManage-ynterface en oerbrocht foar gebrûk nei vSmart.

Service-chaining

It foarmjen fan tsjinstketten is in noch mear arbeidsyntinsive taak yn klassike routing as it al beskreaune Traffic-Engineering-meganisme. Yndied, yn dit gefal is it net allinich nedich om in spesjale rûte te meitsjen foar in spesifike netwurkapplikaasje, mar ek om de mooglikheid te garandearjen om ferkear fan it netwurk te ferwiderjen op bepaalde (of alle) knooppunten fan it SD-WAN-netwurk foar ferwurking troch in spesjale applikaasje of tsjinst (brânmuorre, balânsjen, caching, ynspeksje ferkear, ensfh.). Tagelyk is it needsaaklik om de steat fan dizze eksterne tsjinsten te kontrolearjen om situaasjes mei swarte gatten te foarkommen, en meganismen binne ek nedich dy't tastean dat sokke eksterne tsjinsten fan itselde type yn ferskate geo-lokaasjes pleatst wurde mei de mooglikheid fan it netwurk om automatysk de meast optimale tsjinstknooppunt te selektearjen foar it ferwurkjen fan it ferkear fan in bepaalde branch. Yn it gefal fan Cisco SD-WAN is dit frij maklik te berikken troch it meitsjen fan in passend sintralisearre belied dat alle aspekten fan 'e doeltsjinstketen yn ien gehiel "lijmt" en automatysk de logika fan gegevens- en kontrôleflak feroaret wêr't en as it nedich is.

Sil Cisco SD-WAN de tûke ôfsnije wêrop DMVPN sit?

De mooglikheid om geo-ferspraat ferwurking fan ferkear fan selektearre soarten applikaasjes yn in bepaalde folchoarder te meitsjen op spesjalisearre (mar net besibbe oan it SD-WAN-netwurk sels) apparatuer is faaks de dúdlikste demonstraasje fan 'e foardielen fan Cisco SD-WAN boppe klassike technologyen en sels wat alternative SD-oplossingen -WAN fan oare fabrikanten.

Wat op it ein?

Fansels, sawol DMVPN (mei of sûnder Performance Routing) en Cisco SD-WAN úteinlik oplosse hiel ferlykbere problemen yn relaasje ta it ferspraat WAN netwurk fan 'e organisaasje. Tagelyk liede wichtige arsjitektoanyske en funksjonele ferskillen yn Cisco SD-WAN-technology ta it proses fan it oplossen fan dizze problemen nei in oar kwaliteitsnivo. Om gearfetsje kinne wy ​​​​de folgjende signifikante ferskillen opmerke tusken SD-WAN en DMVPN / PfR-technologyen:

  • DMVPN / PfR brûke yn 't algemien tiid-teste technologyen foar it bouwen fan overlay VPN-netwurken en, yn termen fan gegevensflak, binne fergelykber mei moderne SD-WAN-technology, lykwols binne d'r in oantal beheiningen yn' e foarm fan in ferplichte statyske konfiguraasje fan routers en de kar fan topologyen is beheind ta Hub-n-Spoke. Oan 'e oare kant hat DMVPN / PfR wat funksjonaliteit dy't noch net beskikber is binnen SD-WAN (wy prate oer per-applikaasje BFD).
  • Binnen it kontrôlefleanmasine ferskille technologyen fûneminteel. Mei it rekkenjen fan de sintralisearre ferwurking fan sinjaalprotokollen, lit SD-WAN benammen mislearre domeinen signifikant beheine en it proses fan it ferstjoeren fan brûkersferkear fan sinjaal-ynteraksje "ûntkoppele" - tydlike ûnbeskikberens fan controllers hat gjin ynfloed op de mooglikheid om brûkersferkear te ferstjoeren . Tagelyk hat de tydlike net-beskikberens fan elke branch (ynklusyf de sintrale) gjin ynfloed op it fermogen fan oare tûken om mei elkoar en kontrôlers te ynteraksje.
  • De arsjitektuer foar de foarming en tapassing fan ferkearsbehearbelied yn it gefal fan SD-WAN is ek superieur oan dy yn DMVPN/PfR - geo-reservering is folle better ymplementearre, d'r is gjin ferbining mei de Hub, d'r binne mear kânsen foar boete -tuning belied, de list fan ymplemintearre ferkear behear senario is ek folle grutter.
  • It proses fan orkestraasje fan oplossing is ek signifikant oars. DMVPN nimt de oanwêzigens fan earder bekende parameters oan dy't op ien of oare manier yn 'e konfiguraasje wjerspegelje moatte, wat de fleksibiliteit fan' e oplossing en de mooglikheid fan dynamyske feroaringen wat beheint. Op syn beurt is SD-WAN basearre op it paradigma dat op it earste momint fan ferbining de router "neat wit" oer syn controllers, mar wit "wa't jo kinne freegje" - dit is genôch net allinich om automatysk kommunikaasje te meitsjen mei de controllers, mar ek om automatysk it foarmjen fan in folslein ferbûn data-plane topology, dat kin dan wurde fleksibel konfigurearre / feroare mei help fan belied.
  • Yn termen fan sintrale behear, automatisearring en monitoaring, SD-WAN wurdt ferwachte te boppe de mooglikheden fan DMVPN / PfR, dy't hawwe evoluearre út klassike technologyen en fertrouwe mear swier op de CLI kommando line en it brûken fan template-basearre NMS systemen.
  • Yn SD-WAN, yn ferliking mei DMVPN, hawwe feiligenseasken in oar kwalitatyf nivo berikt. De haadprinsipes binne nul fertrouwen, skalberens en twa-faktor autentikaasje.

Dizze ienfâldige konklúzjes kinne de ferkearde yndruk jaan dat it meitsjen fan in netwurk basearre op DMVPN / PfR hjoed alle relevânsje hat ferlern. Dit is fansels net hielendal wier. Bygelyks, yn gefallen wêr't it netwurk in protte ferâldere apparatuer brûkt en d'r gjin manier is om it te ferfangen, kin DMVPN jo tastean om "âlde" en "nije" apparaten te kombinearjen yn ien geo-ferspraat netwurk mei in protte fan 'e beskreaune foardielen boppe.

Oan 'e oare kant moat it betocht wurde dat alle hjoeddeistige Cisco bedriuwsrouters basearre op IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) hjoed elke bestjoeringsmodus stypje - sawol klassike routing as DMVPN en SD-WAN - de kar wurdt bepaald troch aktuele behoeften en it begryp dat jo op elk momint, mei deselde apparatuer kinne begjinne te bewegen nei mear avansearre technology.

Boarne: www.habr.com

Add a comment