ProHoster > Blog > Administración > Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Desde agosto de 2017, cando Cisco adquiriu Viptela, a principal tecnoloxía ofrecida para organizar redes de empresas distribuídas converteuse Cisco SD-WAN. Durante os últimos 3 anos, a tecnoloxía SD-WAN pasou por moitos cambios, tanto cualitativos como cuantitativos. Así, a funcionalidade ampliouse significativamente e apareceu soporte nos enrutadores clásicos da serie Cisco ISR 1000, ISR 4000, ASR 1000 e Virtual CSR 1000v. Ao mesmo tempo, moitos clientes e socios de Cisco seguen preguntándose: cales son as diferenzas entre Cisco SD-WAN e enfoques xa coñecidos baseados en tecnoloxías como Cisco DMVPN и Cisco Performance Routing e que importancia teñen estas diferenzas?

Aquí debemos facer inmediatamente unha reserva de que antes da chegada de SD-WAN na carteira de Cisco, DMVPN xunto con PfR formaban unha parte clave na arquitectura. Cisco IWAN (WAN intelixente), que á súa vez foi o predecesor da tecnoloxía SD-WAN completa. A pesar da semellanza xeral tanto das tarefas que se están a resolver como dos métodos para resolvelas, IWAN nunca recibiu o nivel de automatización, flexibilidade e escalabilidade necesarios para SD-WAN, e co paso do tempo, o desenvolvemento de IWAN diminuíu significativamente. Ao mesmo tempo, as tecnoloxías que compoñen IWAN non desapareceron e moitos clientes seguen usándoas con éxito, incluso en equipos modernos. Como resultado, xurdiu unha situación interesante: o mesmo equipo Cisco permítelle escoller a tecnoloxía WAN máis adecuada (clásica, DMVPN+PfR ou SD-WAN) de acordo cos requisitos e expectativas dos clientes.

O artigo non pretende analizar en detalle todas as características das tecnoloxías Cisco SD-WAN e DMVPN (con ou sen Performance Routing): hai unha gran cantidade de documentos e materiais dispoñibles para iso. A tarefa principal é tentar avaliar as principais diferenzas entre estas tecnoloxías. Pero antes de pasar a discutir estas diferenzas, recordemos brevemente as propias tecnoloxías.

Que é Cisco DMVPN e por que é necesario?

Cisco DMVPN resolve o problema da conexión dinámica (= escalable) dunha rede de sucursais remotas á rede da oficina central dunha empresa cando se usan tipos arbitrarios de canles de comunicación, incluíndo Internet (= con cifrado da canle de comunicación). Tecnicamente, isto realízase creando unha rede de superposición virtualizada de clase VPN L3 en modo punto a multipunto cunha topoloxía lóxica do tipo "Star" (Hub-n-Spoke). Para conseguilo, DMVPN utiliza unha combinación das seguintes tecnoloxías:

  • Enrutamento IP
  • Túneles GRE multipunto (mGRE)
  • Protocolo de resolución de próximo salto (NHRP)
  • Perfís IPSec Crypto

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Cales son as principais vantaxes de Cisco DMVPN en comparación co enrutamento clásico mediante canles VPN MPLS?

  • Para crear unha rede interprofesional, é posible utilizar calquera canle de comunicación: todo o que poida proporcionar conectividade IP entre sucursais é adecuado, mentres que o tráfico estará cifrado (se é necesario) e equilibrado (se é posible).
  • Fórmase automaticamente unha topoloxía totalmente conectada entre ramas. Ao mesmo tempo, hai túneles estáticos entre as ramas central e remota, e túneles dinámicos baixo demanda entre as ramas remotas (se hai tráfico)
  • Os routers da rama central e remota teñen a mesma configuración ata os enderezos IP das interfaces. Ao usar mGRE, non hai necesidade de configurar individualmente decenas, centos ou mesmo miles de túneles. Como resultado, unha escalabilidade decente co deseño correcto.

Que é Cisco Performance Routing e por que é necesario?

Cando se usa DMVPN nunha rede interprofesional, queda unha cuestión extremadamente importante sen resolver: como avaliar dinámicamente o estado de cada un dos túneles DMVPN para o cumprimento dos requisitos de tráfico críticos para a nosa organización e, de novo, baseándose en tal avaliación, facer dinámicamente unha decisión sobre o cambio de ruta? O feito é que DMVPN nesta parte difiere pouco do enrutamento clásico: o mellor que se pode facer é configurar mecanismos de QoS que lle permitan priorizar o tráfico na dirección de saída, pero de ningún xeito son capaces de ter en conta o estado de todo o camiño nun momento ou noutro.

E que facer se a canle se degrada parcialmente e non completamente: como detectar e avaliar isto? O propio DMVPN non pode facelo. Tendo en conta que as canles que conectan as sucursais poden pasar por operadores de telecomunicacións completamente diferentes, utilizando tecnoloxías completamente diferentes, esta tarefa vólvese moi pouco trivial. E aquí é onde a tecnoloxía Cisco Performance Routing vén ao rescate, que por aquel entón xa pasara por varias fases de desenvolvemento.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

A tarefa de Cisco Performance Routing (en diante PfR) redúcese a medir o estado das rutas (túneles) do tráfico en función de métricas clave importantes para as aplicacións de rede. latencia, variación da latencia (jitter) e perda de paquetes (porcentaxe). Ademais, pódese medir o ancho de banda utilizado. Estas medicións prodúcense o máis preto posible e xustificadamente do tempo real, e o resultado destas medicións permite que o enrutador que utiliza PfR tome dinámicamente decisións sobre a necesidade de cambiar o enrutamento deste ou cal.

Así, a tarefa da combinación DMVPN/PfR pódese describir brevemente do seguinte xeito:

  • Permitir ao cliente utilizar calquera canle de comunicación na rede WAN
  • Garantir a maior calidade posible das aplicacións críticas nestas canles

Que é Cisco SD-WAN?

Cisco SD-WAN é unha tecnoloxía que utiliza o enfoque SDN para crear e operar a rede WAN dunha organización. Isto significa en particular o uso dos chamados controladores (elementos de software), que proporcionan a orquestración centralizada e a configuración automatizada de todos os compoñentes da solución. A diferenza do SDN canónico (estilo Clean Slate), Cisco SD-WAN usa varios tipos de controladores, cada un dos cales realiza o seu propio papel; isto fíxose intencionadamente para proporcionar unha mellor escalabilidade e xeoredundancia.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

No caso de SD-WAN, a tarefa de utilizar calquera tipo de canles e garantir o funcionamento das aplicacións empresariais segue sendo a mesma, pero ao mesmo tempo, amplíanse os requisitos de automatización, escalabilidade, seguridade e flexibilidade desta rede.

Discusión das diferenzas

Se agora comezamos a analizar as diferenzas entre estas tecnoloxías, entrarán nunha das seguintes categorías:

  • Diferenzas arquitectónicas: como se distribúen as funcións entre varios compoñentes da solución, como se organiza a interacción destes compoñentes e como afecta isto ás capacidades e á flexibilidade da tecnoloxía?
  • Funcionalidade: que pode facer unha tecnoloxía que outra non pode facer? E é realmente tan importante?

Cales son as diferenzas arquitectónicas e son importantes?

Cada unha destas tecnoloxías ten moitas "partes móbiles" que difiren non só nos seus roles, senón tamén na forma en que interactúan entre si. O ben que estes principios están pensados ​​e a mecánica xeral da solución determinan directamente a súa escalabilidade, tolerancia a fallos e eficiencia global.

Vexamos os distintos aspectos da arquitectura con máis detalle:

Plano de datos – parte da solución responsable da transmisión do tráfico de usuarios entre a fonte e o destinatario. DMVPN e SD-WAN impléntanse xeralmente de forma idéntica nos propios enrutadores baseados en túneles GRE multipunto. A diferenza é como se forma o conxunto de parámetros necesarios para estes túneles:

  • в DMVPN/PfR é unha xerarquía de nodos exclusivamente de dous niveis cunha topoloxía Star ou Hub-n-Spoke. Requírese a configuración estática do Hub e a vinculación estática de Spoke ao Hub, así como a interacción a través do protocolo NHRP para formar a conectividade do plano de datos. En consecuencia, dificultando significativamente os cambios no Hubrelacionados, por exemplo, con cambiar/conectar novas canles WAN ou cambiar os parámetros das existentes.
  • в SD WAN é un modelo totalmente dinámico para detectar parámetros de túneles instalados baseado no plano de control (protocolo OMP) e no plano de orquestración (interacción co controlador vBond para a detección do controlador e as tarefas de travesía NAT). Neste caso, pódese utilizar calquera topoloxía superposta, incluídas as xerárquicas. Dentro da topoloxía de túnel de superposición establecida, é posible a configuración flexible da topoloxía lóxica en cada VPN (VRF) individual.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Plano de control – funcións de intercambio, filtrado e modificación do enrutamento e outra información entre os compoñentes da solución.

  • в DMVPN/PfR – realízase só entre enrutadores Hub e Spoke. Non é posible o intercambio directo de información de enrutamento entre Spokes. En consecuencia, Sen un concentrador que funcione, o plano de control e o plano de datos non poden funcionar, que impón requisitos adicionais de alta dispoñibilidade ao Hub que non sempre se poden cumprir.
  • в SD WAN – o plano de control nunca se realiza directamente entre enrutadores – a interacción prodúcese sobre a base do protocolo OMP e necesariamente realízase a través dun tipo de controlador vSmart especializado separado, que ofrece a posibilidade de equilibrar, xeo-reserva e control centralizado do carga de sinal. Outra característica do protocolo OMP é a súa importante resistencia ás perdas e independencia da velocidade da canle de comunicación cos controladores (dentro de límites razoables, por suposto). O que permite colocar controladores SD-WAN con igual éxito en nubes públicas ou privadas con acceso a través de Internet.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Plano político – parte da solución responsable de definir, distribuír e aplicar políticas de xestión de tráfico nunha rede distribuída.

  • DMVPN – está efectivamente limitado polas políticas de calidade de servizo (QoS) configuradas individualmente en cada enrutador a través dos modelos CLI ou Prime Infrastructure.
  • DMVPN/PfR – As políticas de PfR fórmanse no enrutador centralizado do controlador mestre (MC) a través da CLI e, a continuación, distribúense automaticamente aos MC de rama. Neste caso, utilízanse as mesmas rutas de transferencia de políticas que para o plano de datos. Non hai posibilidade de separar o intercambio de políticas, información de enrutamento e datos de usuario. A propagación da política require a presenza de conectividade IP entre o Hub e Spoke. Neste caso, a función MC pódese combinar, se é necesario, cun enrutador DMVPN. É posible (pero non obrigatorio) utilizar modelos de Prime Infrastructure para a xeración de políticas centralizadas. Unha característica importante é que a política fórmase globalmente en toda a rede do mesmo xeito: Non se admiten políticas individuais para segmentos individuais.
  • SD WAN – As políticas de xestión do tráfico e de calidade do servizo determínanse centralmente a través da interface gráfica de Cisco vManage, accesible tamén a través de Internet (se é necesario). Distribúense a través de canles de sinalización directa ou indirectamente a través de controladores vSmart (dependendo do tipo de política). Non dependen da conectividade do plano de datos entre enrutadores, porque use todas as rutas de tráfico dispoñibles entre o controlador e o enrutador.

    Para diferentes segmentos de rede, é posible formular políticas diferentes de forma flexible: o alcance da política está determinado por moitos identificadores únicos proporcionados na solución: número de sucursal, tipo de aplicación, dirección de tráfico, etc.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Plano de orquestración – mecanismos que permiten que os compoñentes se detecten dinámicamente entre si, configuren e coordinen as interaccións posteriores.

  • в DMVPN/PfR O descubrimento mutuo entre enrutadores baséase na configuración estática dos dispositivos Hub e na configuración correspondente dos dispositivos Spoke. O descubrimento dinámico só ocorre para Spoke, que informa dos parámetros de conexión do seu Hub ao dispositivo, que á súa vez está preconfigurado con Spoke. Sen a conectividade IP entre Spoke e polo menos un concentrador, é imposible formar un plano de datos ou un plano de control.
  • в SD WAN a orquestración dos compoñentes da solución prodúcese mediante o controlador vBond, co cal cada compoñente (routers e controladores vManage/vSmart) debe establecer primeiro a conectividade IP.

    Inicialmente, os compoñentes non coñecen os parámetros de conexión dos outros; para iso necesitan o orquestrador intermediario vBond. O principio xeral é o seguinte: cada compoñente na fase inicial aprende (de forma automática ou estática) só sobre os parámetros de conexión a vBond, despois vBond informa ao router sobre os controladores vManage e vSmart (descubertos anteriormente), o que permite establecer automaticamente todas as conexións de sinalización necesarias.

    O seguinte paso é que o novo enrutador aprenda sobre os outros enrutadores da rede a través da comunicación OMP co controlador vSmart. Así, o enrutador, sen saber inicialmente nada sobre os parámetros da rede, é capaz de detectar e conectarse aos controladores de forma totalmente automática e, a continuación, detectar e formar conectividade con outros enrutadores. Neste caso, os parámetros de conexión de todos os compoñentes son inicialmente descoñecidos e poden cambiar durante o funcionamento.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Plano de xestión – parte da solución que proporciona xestión e seguimento centralizados.

  • DMVPN/PfR – non se proporciona ningunha solución especializada en planos de xestión. Para a automatización e o seguimento básicos, pódense utilizar produtos como Cisco Prime Infrastructure. Cada enrutador ten a capacidade de ser controlado a través da liña de comandos da CLI. Non se proporciona a integración con sistemas externos mediante API.
  • SD WAN – toda a interacción e seguimento regular realízase de forma centralizada a través da interface gráfica do controlador vManage. Todas as funcións da solución, sen excepción, están dispoñibles para a súa configuración a través de vManage, así como a través dunha biblioteca de API REST totalmente documentada.

    Todas as configuracións de rede SD-WAN en vManage redúcense a dúas construcións principais: a formación de modelos de dispositivos (Device Template) e a formación dunha política que determine a lóxica do funcionamento da rede e do procesamento do tráfico. Ao mesmo tempo, vManage, que transmite a política xerada polo administrador, selecciona automaticamente que cambios e en que dispositivos/controladores individuais hai que facer, o que aumenta significativamente a eficiencia e escalabilidade da solución.

    A través da interface vManage, non só está dispoñible a configuración da solución Cisco SD-WAN, senón tamén un seguimento completo do estado de todos os compoñentes da solución, ata o estado actual das métricas para túneles individuais e estatísticas sobre o uso de varias aplicacións. baseado na análise DPI.

    A pesar da centralización da interacción, todos os compoñentes (controladores e enrutadores) tamén teñen unha liña de comandos CLI totalmente funcional, que é necesaria na fase de implementación ou en caso de emerxencia para o diagnóstico local. No modo normal (se hai unha canle de sinalización entre compoñentes) nos enrutadores, a liña de comandos só está dispoñible para diagnósticos e non está dispoñible para facer cambios locais, o que garante a seguridade local e a única fonte de cambios nesta rede é vManage.

Seguridade Integrada – aquí debemos falar non só da protección dos datos do usuario cando se transmiten por canles abertas, senón tamén da seguridade xeral da rede WAN baseada na tecnoloxía seleccionada.

  • в DMVPN/PfR É posible cifrar os datos do usuario e os protocolos de sinalización. Cando se usan certos modelos de enrutador, tamén están dispoñibles funcións de firewall con inspección de tráfico e IPS/IDS. É posible segmentar redes de sucursais mediante VRF. É posible autenticar protocolos de control (un factor).

    Neste caso, o enrutador remoto considérase un elemento de confianza da rede por defecto, é dicir. Non se asumen nin se teñen en conta os casos de compromiso físico de dispositivos individuais e a posibilidade de acceso non autorizado a eles; non existe unha autenticación de dous factores dos compoñentes da solución, que no caso dunha rede distribuída xeograficamente pode comportar riscos adicionais significativos.

  • в SD WAN por analoxía con DMVPN, ofrécese a capacidade de cifrar os datos do usuario, pero cunha seguridade de rede significativamente ampliada e funcións de segmentación L3/VRF (firewall, IPS/IDS, filtrado de URL, filtrado DNS, AMP/TG, SASE, proxy TLS/SSL, etc.) d.). Ao mesmo tempo, o intercambio de claves de cifrado realízase de forma máis eficiente a través de controladores vSmart (en lugar de directamente), a través de canles de sinalización preestablecidas protexidas polo cifrado DTLS/TLS baseado en certificados de seguridade. O que á súa vez garante a seguridade deste tipo de intercambios e asegura unha mellor escalabilidade da solución ata decenas de miles de dispositivos na mesma rede.

    Todas as conexións de sinalización (controlador a controlador, controlador-router) tamén están protexidas baseándose en DTLS/TLS. Os routers están equipados con certificados de seguridade durante a produción con posibilidade de substitución/ampliación. A autenticación de dous factores conséguese mediante o cumprimento obrigatorio e simultáneo de dúas condicións para que o enrutador/controlador funcione nunha rede SD-WAN:

    • Certificado de seguridade válido
    • Inclusión explícita e consciente por parte do administrador de cada compoñente na lista "branca" de dispositivos permitidos.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

Diferenzas funcionais entre SD-WAN e DMVPN/PfR

Pasando a discutir as diferenzas funcionais, hai que ter en conta que moitas delas son unha continuación das arquitectónicas; non é ningún segredo que ao formar a arquitectura dunha solución, os desenvolvedores parten das capacidades que queren conseguir ao final. Vexamos as diferenzas máis significativas entre as dúas tecnoloxías.

AppQ (Calidade da aplicación): funcións para garantir a calidade da transmisión do tráfico de aplicacións empresariais

As funcións clave das tecnoloxías en consideración teñen como obxectivo mellorar a experiencia do usuario na medida do posible cando se usan aplicacións críticas para o negocio nunha rede distribuída. Isto é especialmente importante en condicións nas que parte da infraestrutura non está controlada pola TI ou nin sequera garante a transferencia de datos exitosa.

DMVPN non proporciona estes mecanismos. O mellor que se pode facer nunha rede DMVPN clásica é clasificar o tráfico de saída por aplicación e priorizalo cando se transmite cara á canle WAN. A elección dun túnel DMVPN está determinada neste caso só pola súa dispoñibilidade e polo resultado do funcionamento dos protocolos de enrutamento. Ao mesmo tempo, o estado de extremo a extremo do camiño/túnel e a súa posible degradación parcial non se teñen en conta en termos de métricas clave que son significativas para as aplicacións de rede: atraso, variación do atraso (jitter) e perdas (% ). Neste sentido, comparar directamente o DMVPN clásico con SD-WAN en termos de resolución de problemas de AppQ perde todo o sentido - DMVPN non pode resolver este problema. Cando engades a tecnoloxía Cisco Performance Routing (PfR) a este contexto, a situación cambia e a comparación con Cisco SD-WAN faise máis significativa.

Antes de discutir as diferenzas, aquí tes unha ollada rápida a como as tecnoloxías son similares. Así, ambas tecnoloxías:

  • ter un mecanismo que lle permite avaliar dinámicamente o estado de cada túnel establecido en termos de determinadas métricas: como mínimo, atraso, variación do atraso e perda de paquetes (%)
  • utilizar un conxunto específico de ferramentas para formar, distribuír e aplicar regras (políticas) de xestión de tráfico, tendo en conta os resultados da medición do estado das métricas clave do túnel.
  • clasificar o tráfico de aplicacións nos niveis L3-L4 (DSCP) do modelo OSI ou mediante sinaturas de aplicacións L7 en función dos mecanismos DPI integrados no enrutador
  • Para aplicacións significativas, permítenche determinar valores límite aceptables das métricas, regras para transmitir tráfico por defecto e regras para redireccionar o tráfico cando se superan os valores límite.
  • Ao encapsular o tráfico en GRE/IPSec, usan o mecanismo da industria xa establecido para transferir marcas DSCP internas á cabeceira de paquete GRE/IPSEC externa, o que permite sincronizar as políticas de QoS da organización e do operador de telecomunicacións (se hai un SLA adecuado). .

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

En que se diferencian as métricas de extremo a extremo SD-WAN e DMVPN/PfR?

DMVPN/PfR

  • Os sensores de software activos e pasivos (sondas) úsanse para avaliar as métricas estándar de saúde do túnel. Os activos baséanse no tráfico de usuarios, os pasivos emulan ese tráfico (na súa ausencia).
  • Non hai un axuste fino dos temporizadores e as condicións de detección de degradación: o algoritmo está corrixido.
  • Ademais, está dispoñible a medición do ancho de banda utilizado na dirección de saída. O que engade flexibilidade adicional de xestión de tráfico a DMVPN/PfR.
  • Ao mesmo tempo, algúns mecanismos PfR, cando se superan as métricas, dependen da sinalización de retroalimentación en forma de mensaxes especiais TCA (Threshold Crossing Alert) que deben vir do destinatario do tráfico cara á fonte, que á súa vez supón que o estado do as canles medidas deberían ser polo menos suficientes para a transmisión de tales mensaxes TCA. O que na maioría dos casos non é un problema, pero obviamente non se pode garantir.

SD WAN

  • Para a avaliación de extremo a extremo das métricas estándar do estado do túnel, utilízase o protocolo BFD en modo eco. Neste caso, non se requiren comentarios especiais en forma de TCA ou mensaxes similares: mantense o illamento dos dominios de fallo. Tampouco require a presenza de tráfico de usuarios para avaliar o estado do túnel.
  • É posible axustar os temporizadores BFD para regular a velocidade de resposta e a sensibilidade do algoritmo á degradación da canle de comunicación de varios segundos a minutos.

    Cisco SD-WAN cortará a rama na que se atopa DMVPN?

  • No momento de escribir este artigo, só hai unha sesión BFD en cada túnel. Isto pode xerar menos granularidade na análise do estado do túnel. En realidade, isto só pode converterse nunha limitación se usa unha conexión WAN baseada en VPN MPLS L2/L3 cun SLA de QoS acordado, se a marca DSCP do tráfico BFD (despois do encapsulamento en IPSec/GRE) coincide coa cola de alta prioridade en rede do operador de telecomunicacións, isto pode afectar á precisión e á velocidade da detección de degradación para o tráfico de baixa prioridade. Ao mesmo tempo, é posible cambiar a etiquetaxe BFD predeterminada para reducir o risco de tales situacións. Nas futuras versións do software Cisco SD-WAN, espérase unha configuración BFD máis afinada, así como a posibilidade de lanzar varias sesións BFD dentro do mesmo túnel con valores DSCP individuais (para diferentes aplicacións).
  • BFD ademais permítelle estimar o tamaño máximo do paquete que se pode transmitir a través dun túnel particular sen fragmentación. Isto permite que SD-WAN axuste dinámicamente parámetros como MTU e TCP MSS Adjust para aproveitar ao máximo o ancho de banda dispoñible en cada ligazón.
  • En SD-WAN, tamén está dispoñible a opción de sincronización de QoS dos operadores de telecomunicacións, non só baseada nos campos DSCP L3, senón tamén en función dos valores CoS L2, que poden xerarse automaticamente na rede de sucursais por dispositivos especializados, por exemplo, IP. teléfonos

En que se diferencian as capacidades, os métodos de definición e aplicación das políticas de AppQ?

Políticas DMVPN/PfR:

  • Definido nos enrutadores de rama central a través da liña de comandos da CLI ou dos modelos de configuración da CLI. A xeración de modelos CLI require preparación e coñecemento da sintaxe da política.

    Cisco SD-WAN cortará a rama na que se atopa DMVPN?

  • Definido globalmente sen a posibilidade de configuración/cambio individual dos requisitos dos segmentos de rede individuais.
  • A xeración de políticas interactivas non se proporciona na interface gráfica.
  • Non se proporciona o seguimento dos cambios, a herdanza e a creación de varias versións de políticas para o cambio rápido.
  • Distribuído automaticamente a routers de sucursais remotas. Neste caso, utilízanse as mesmas canles de comunicación que para transmitir os datos do usuario. Se non existe unha canle de comunicación entre a sucursal central e a remota, a distribución/cambio de políticas é imposible.
  • Utilízanse en cada router e, se é necesario, modifican o resultado dos protocolos de enrutamento estándar, tendo maior prioridade.
  • Para os casos nos que todas as ligazóns WAN de ramas experimentan perdas de tráfico significativas, ningún mecanismo de compensación previsto.

Políticas SD-WAN:

  • Definido na GUI de vManage mediante o asistente de modelos interactivos.
  • Admite a creación de varias políticas, copia, herdanza e cambio de políticas en tempo real.
  • Admite configuracións de políticas individuais para diferentes segmentos de rede (ramas)
  • Distribúense mediante calquera canle de sinal dispoñible entre o controlador e o enrutador e/ou vSmart; non dependen directamente da conectividade do plano de datos entre os enrutadores. Isto, por suposto, require conectividade IP entre o propio enrutador e os controladores.

    Cisco SD-WAN cortará a rama na que se atopa DMVPN?

  • Para os casos nos que todas as sucursais dispoñibles dunha sucursal experimentan perdas significativas de datos que superan os limiares aceptables para aplicacións críticas, é posible utilizar mecanismos adicionais que aumenten a fiabilidade da transmisión:
    • FEC (corrección de erros directos) – usa un algoritmo especial de codificación redundante. Cando se transmite tráfico crítico por canles cunha porcentaxe importante de perdas, FEC pódese activar automaticamente e permite, se é necesario, restaurar a parte perdida dos datos. Isto aumenta lixeiramente o ancho de banda de transmisión utilizado, pero mellora significativamente a fiabilidade.

      Cisco SD-WAN cortará a rama na que se atopa DMVPN?

    • Duplicación de fluxos de datos – Ademais de FEC, a póliza pode prever a duplicación automática do tráfico das aplicacións seleccionadas no caso de que exista un nivel de perdas aínda máis grave que non poida ser compensado por FEC. Neste caso, os datos seleccionados transmitiranse a través de todos os túneles cara á rama receptora coa posterior desduplicación (eliminando copias extra dos paquetes). O mecanismo aumenta significativamente a utilización da canle, pero tamén aumenta significativamente a fiabilidade da transmisión.

Capacidades SD-WAN de Cisco, sen análogos directos en DMVPN/PfR

A arquitectura da solución Cisco SD-WAN nalgúns casos permítelle obter capacidades que son extremadamente difíciles de implementar dentro de DMVPN/PfR, ou non son prácticas debido aos custos laborais requiridos, ou son completamente imposibles. Vexamos as máis interesantes delas:

Enxeñaría de Tráfico (TE)

TE inclúe mecanismos que permiten que o tráfico se ramifique da ruta estándar formada polos protocolos de enrutamento. O TE utilízase a miúdo para garantir a alta dispoñibilidade dos servizos de rede, a través da capacidade de transferir de forma rápida e/ou proactiva o tráfico crítico a unha ruta de transmisión alternativa (disxunta), co fin de garantir unha mellor calidade do servizo ou velocidade de recuperación en caso de falla. no camiño principal.

A dificultade para implementar TE reside na necesidade de calcular e reservar (comprobar) un camiño alternativo con antelación. Nas redes MPLS de operadores de telecomunicacións, este problema resólvese mediante tecnoloxías como MPLS Traffic-Engineering con extensións dos protocolos IGP e protocolo RSVP. Tamén recentemente, a tecnoloxía Segment Routing, que está máis optimizada para a configuración e a orquestración centralizadas, fíxose cada vez máis popular. Nas redes WAN clásicas, estas tecnoloxías normalmente non están representadas ou redúcense ao uso de mecanismos salto a salto como o enrutamento baseado en políticas (PBR), que son capaces de ramificar o tráfico, pero implementan isto en cada enrutador por separado, sen tomar tendo en conta o estado xeral da rede ou PBR nos pasos anteriores ou posteriores. O resultado do uso destas opcións TE é decepcionante: MPLS TE, debido á complexidade de configuración e funcionamento, úsase, por regra xeral, só na parte máis crítica da rede (núcleo) e PBR úsase en enrutadores individuais sen a capacidade de crear unha política PBR unificada para toda a rede. Obviamente, isto tamén se aplica ás redes baseadas en DMVPN.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

SD-WAN a este respecto ofrece unha solución moito máis elegante que non só é fácil de configurar, senón que tamén se escala moito mellor. Este é o resultado das arquitecturas de plano de control e de política utilizadas. A implementación dun plano de políticas en SD-WAN permítelle definir de forma centralizada a política de TE: que tráfico é de interese? para que VPN? A través de que nodos/túneles é necesario ou, pola contra, prohibido formar unha ruta alternativa? Pola súa banda, a centralización da xestión do plano de control baseada en controladores vSmart permítelle modificar os resultados do enrutamento sen recorrer á configuración de dispositivos individuais: os enrutadores xa ven só o resultado da lóxica xerada na interface vManage e transferida para o seu uso. vSmart.

Encadeamento de servizos

Formar cadeas de servizos é unha tarefa aínda máis intensiva no enrutamento clásico que o mecanismo de Enxeñaría de Tráfico xa descrito. De feito, neste caso, é necesario non só crear unha ruta especial para unha aplicación de rede específica, senón tamén garantir a capacidade de eliminar o tráfico da rede en certos (ou todos) nodos da rede SD-WAN para o seu procesamento. unha aplicación ou servizo especial (Firewall, Balancing, Caching, Inspection traffic, etc.). Ao mesmo tempo, é necesario poder controlar o estado destes servizos externos para evitar situacións de buraco negro, e tamén son necesarios mecanismos que permitan situar tales servizos externos do mesmo tipo en xeolocalizacións diferentes. coa capacidade da rede para seleccionar automaticamente o nodo de servizo máis óptimo para procesar o tráfico dunha rama determinada. No caso de Cisco SD-WAN, isto é bastante fácil de conseguir creando unha política centralizada adecuada que "pega" todos os aspectos da cadea de servizos de destino nun único todo e cambia automaticamente a lóxica do plano de datos e do plano de control só onde e cando sexa necesario.

Cisco SD-WAN cortará a rama na que se atopa DMVPN?

A capacidade de crear un procesamento xeodistribuido do tráfico de tipos seleccionados de aplicacións nunha determinada secuencia en equipos especializados (pero non relacionados coa propia rede SD-WAN) é quizais a demostración máis clara das vantaxes de Cisco SD-WAN fronte ao clásico. tecnoloxías e mesmo algunhas solucións SD alternativas -WAN doutros fabricantes.

O resultado?

Obviamente, tanto DMVPN (con ou sen Performance Routing) como Cisco SD-WAN acaban resolvendo problemas moi similares en relación coa rede WAN distribuída da organización. Ao mesmo tempo, diferenzas arquitectónicas e funcionais significativas na tecnoloxía SD-WAN de Cisco levan ao proceso de resolución destes problemas. a outro nivel de calidade. Para resumir, podemos observar as seguintes diferenzas significativas entre as tecnoloxías SD-WAN e DMVPN/PfR:

  • DMVPN/PfR en xeral usa tecnoloxías probadas no tempo para construír redes VPN superpostas e, en termos de plano de datos, son similares á tecnoloxía SD-WAN máis moderna, non obstante, hai unha serie de limitacións en forma de configuración estática obrigatoria. de enrutadores e a elección das topoloxías limítase a Hub-n-Spoke. Por outra banda, DMVPN/PfR ten algunha funcionalidade que aínda non está dispoñible dentro de SD-WAN (estamos falando de BFD por aplicación).
  • Dentro do plano de control, as tecnoloxías difiren fundamentalmente. Tendo en conta o procesamento centralizado dos protocolos de sinalización, SD-WAN permite, en particular, reducir significativamente os dominios de falla e "desacoplar" o proceso de transmisión de tráfico de usuarios da interacción de sinalización: a indisponibilidade temporal dos controladores non afecta a capacidade de transmitir tráfico de usuarios. . Ao mesmo tempo, a indisponibilidade temporal de calquera rama (incluída a central) non afecta de ningún xeito á capacidade doutras ramas para interactuar entre elas e cos controladores.
  • A arquitectura para a formación e aplicación de políticas de xestión de tráfico no caso de SD-WAN tamén é superior á de DMVPN/PfR: a xeoreserva está moito mellor implementada, non hai conexión co Hub, hai máis oportunidades de multa. -axuste das políticas, a lista de escenarios de xestión de tráfico implementados tamén é moito maior.
  • O proceso de orquestración da solución tamén é significativamente diferente. DMVPN asume a presenza de parámetros previamente coñecidos que deben reflectirse dalgún xeito na configuración, o que limita un pouco a flexibilidade da solución e a posibilidade de cambios dinámicos. Á súa vez, SD-WAN baséase no paradigma de que no momento inicial da conexión, o enrutador "non sabe nada" dos seus controladores, pero sabe "a quen lle podes preguntar"; isto é suficiente non só para establecer automaticamente a comunicación con os controladores, pero tamén para formar automaticamente unha topoloxía de plano de datos totalmente conectada, que despois pode configurarse/cambiarse de forma flexible mediante políticas.
  • En termos de xestión centralizada, automatización e seguimento, espérase que SD-WAN supere as capacidades de DMVPN/PfR, que evolucionaron a partir das tecnoloxías clásicas e dependen moito da liña de comandos CLI e do uso de sistemas NMS baseados en modelos.
  • En SD-WAN, en comparación co DMVPN, os requisitos de seguridade alcanzaron un nivel cualitativo diferente. Os principios principais son a confianza cero, a escalabilidade e a autenticación de dous factores.

Estas simples conclusións poden dar a impresión equivocada de que a creación dunha rede baseada en DMVPN/PfR perdeu toda a relevancia na actualidade. Isto, por suposto, non é totalmente certo. Por exemplo, nos casos nos que a rede usa moitos equipos obsoletos e non hai forma de substituílos, DMVPN pode permitirche combinar dispositivos "antigos" e "novos" nunha única rede xeodistribuída con moitas das vantaxes descritas. arriba.

Por outra banda, hai que lembrar que todos os enrutadores corporativos actuais de Cisco baseados en IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) admiten hoxe calquera modo operativo, tanto o enrutamento clásico como DMVPN e SD-WAN. a elección está determinada polas necesidades actuais e o entendemento de que en calquera momento, utilizando os mesmos equipos, pódese comezar a avanzar cara a tecnoloxía máis avanzada.

Fonte: www.habr.com

Engadir un comentario