ProHoster > Blog > uprava > Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Od kolovoza 2017., kada je Cisco kupio Viptelu, glavna tehnologija u ponudi za organiziranje distribuiranih poslovnih mreža postala je Cisco SD-WAN. Tijekom protekle 3 godine, SD-WAN tehnologija je prošla kroz mnoge promjene, kako kvalitativne tako i kvantitativne. Dakle, funkcionalnost se značajno proširila i pojavila se podrška na klasičnim usmjerivačima serije Cisco ISR 1000, ISR 4000, ASR 1000 i Virtual CSR 1000v. U isto vrijeme, mnogi klijenti i partneri Cisca i dalje se pitaju: koje su razlike između Cisco SD-WAN-a i već poznatih pristupa temeljenih na tehnologijama kao što su Cisco DMVPN и Cisco Performance Routing i koliko su te razlike važne?

Ovdje bismo odmah trebali reći da je prije pojave SD-WAN-a u Cisco portfelju, DMVPN zajedno s PfR-om činio ključnu ulogu u arhitekturi Cisco IWAN (Inteligentni WAN), koji je zauzvrat bio prethodnik punopravne SD-WAN tehnologije. Unatoč općoj sličnosti zadataka koji se rješavaju i metoda za njihovo rješavanje, IWAN nikada nije dobio razinu automatizacije, fleksibilnosti i skalabilnosti potrebnu za SD-WAN, a s vremenom je razvoj IWAN-a značajno smanjen. Istodobno, tehnologije koje čine IWAN nisu nestale, a mnogi ih korisnici nastavljaju uspješno koristiti, uključujući i na modernoj opremi. Kao rezultat toga, nastala je zanimljiva situacija - ista Cisco oprema omogućuje vam odabir najprikladnije WAN tehnologije (klasične, DMVPN+PfR ili SD-WAN) u skladu sa zahtjevima i očekivanjima kupaca.

Članak nema namjeru detaljno analizirati sve značajke Cisco SD-WAN i DMVPN tehnologija (sa ili bez Performance Routinga) - za to postoji ogromna količina dostupnih dokumenata i materijala. Glavni zadatak je pokušati evaluirati ključne razlike između ovih tehnologija. Ali prije nego prijeđemo na raspravu o tim razlikama, ukratko se prisjetimo samih tehnologija.

Što je Cisco DMVPN i zašto je potreban?

Cisco DMVPN rješava problem dinamičkog (= skalabilnog) povezivanja mreže udaljene podružnice s mrežom središnjeg ureda poduzeća pri korištenju proizvoljnih vrsta komunikacijskih kanala, uključujući Internet (= uz enkripciju komunikacijskog kanala). Tehnički, to je ostvareno stvaranjem virtualizirane prekrivne mreže klase L3 VPN u načinu rada od točke do više točaka s logičkom topologijom tipa “Star” (Hub-n-Spoke). Kako bi to postigao, DMVPN koristi kombinaciju sljedećih tehnologija:

  • IP usmjeravanje
  • GRE tuneli s više točaka (mGRE)
  • Protokol razrješenja sljedećeg skoka (NHRP)
  • IPSec Crypto profili

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Koje su glavne prednosti Cisco DMVPN-a u usporedbi s klasičnim usmjeravanjem pomoću MPLS VPN kanala?

  • Za stvaranje međuposlovne mreže moguće je koristiti bilo koje komunikacijske kanale - prikladno je sve što može omogućiti IP povezivanje između poslovnica, dok će promet biti kriptiran (gdje je potrebno) i uravnotežen (gdje je moguće)
  • Automatski se formira potpuno povezana topologija između grana. Istodobno postoje statični tuneli između središnje i udaljenih grana, te dinamički tuneli na zahtjev između udaljenih grana (ako ima prometa)
  • Usmjerivači središnje i udaljene podružnice imaju istu konfiguraciju do IP adresa sučelja. Korištenjem mGRE-a nema potrebe za individualnim konfiguriranjem desetaka, stotina ili čak tisuća tunela. Kao rezultat, pristojna skalabilnost s pravim dizajnom.

Što je Cisco Performance Routing i zašto je potreban?

Pri korištenju DMVPN-a na međuposlovnoj mreži jedno izuzetno važno pitanje ostaje neriješeno - kako dinamički procijeniti stanje svakog od DMVPN tunela za usklađenost sa zahtjevima prometa kritičnim za našu organizaciju i, opet, na temelju takve procjene, dinamički napraviti odluka o preusmjeravanju? Činjenica je da se DMVPN u ovom dijelu malo razlikuje od klasičnog usmjeravanja - najbolje što se može učiniti je konfigurirati QoS mehanizme koji će vam omogućiti da odredite prioritet prometa u odlaznom smjeru, ali ni na koji način ne mogu uzeti u obzir stanje cijeli put u jednom ili drugom trenutku.

I što učiniti ako kanal djelomično degradira, a ne potpuno - kako to otkriti i procijeniti? Sam DMVPN to ne može učiniti. S obzirom da kanali koji povezuju grane mogu prolaziti kroz potpuno različite telekom operatere, koristeći potpuno različite tehnologije, ovaj zadatak postaje krajnje netrivijalan. I tu u pomoć dolazi tehnologija Cisco Performance Routing, koja je do tada već prošla nekoliko faza razvoja.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Zadatak Cisco Performance Routing (u daljnjem tekstu PfR) svodi se na mjerenje stanja staza (tunela) prometa na temelju ključnih metrika važnih za mrežne aplikacije - latencija, varijacija latencije (jitter) i gubitak paketa (postotak). Osim toga, može se mjeriti korištena propusnost. Ta se mjerenja odvijaju što je moguće bliže stvarnom vremenu i opravdano, a rezultat tih mjerenja omogućuje usmjerivaču koji koristi PfR da dinamički donosi odluke o potrebi promjene usmjeravanja ove ili one vrste prometa.

Stoga se zadatak kombinacije DMVPN/PfR može ukratko opisati na sljedeći način:

  • Dopustite korisniku korištenje bilo kojeg komunikacijskog kanala na WAN mreži
  • Osigurajte najveću moguću kvalitetu kritičnih aplikacija na ovim kanalima

Što je Cisco SD-WAN?

Cisco SD-WAN je tehnologija koja koristi SDN pristup za stvaranje i upravljanje WAN mrežom organizacije. To posebice znači korištenje tzv. kontrolera (softverskih elemenata), koji osiguravaju centraliziranu orkestraciju i automatiziranu konfiguraciju svih komponenti rješenja. Za razliku od kanonskog SDN-a (Clean Slate style), Cisco SD-WAN koristi nekoliko tipova kontrolera, od kojih svaki ima svoju ulogu - to je učinjeno namjerno kako bi se omogućila bolja skalabilnost i geo-redundancija.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

U slučaju SD-WAN-a, zadaća korištenja bilo koje vrste kanala i osiguravanja rada poslovnih aplikacija ostaje ista, ali se istovremeno proširuju zahtjevi za automatizacijom, skalabilnošću, sigurnošću i fleksibilnošću takve mreže.

Rasprava o razlikama

Ako sada počnemo analizirati razlike između ovih tehnologija, one će spadati u jednu od sljedećih kategorija:

  • Arhitektonske razlike - kako su funkcije raspoređene po različitim komponentama rješenja, kako je organizirana interakcija takvih komponenti i kako to utječe na mogućnosti i fleksibilnost tehnologije?
  • Funkcionalnost – što jedna tehnologija može, a druga ne može? I je li to doista toliko važno?

Koje su arhitektonske razlike i jesu li one važne?

Svaka od ovih tehnologija ima mnogo "pokretnih dijelova" koji se razlikuju ne samo po svojim ulogama, već i po načinu na koji međusobno djeluju. Koliko su dobro promišljena ta načela i opća mehanika rješenja izravno određuju njegovu skalabilnost, toleranciju na greške i ukupnu učinkovitost.

Pogledajmo detaljnije različite aspekte arhitekture:

Podatkovna ravnina – dio rješenja zadužen za prijenos korisničkog prometa između izvora i primatelja. DMVPN i SD-WAN implementirani su općenito identično na samim usmjerivačima na temelju Multipoint GRE tunela. Razlika je u tome kako se formira potrebni skup parametara za ove tunele:

  • в DMVPN/PfR je isključivo dvorazinska hijerarhija čvorova sa Star ili Hub-n-Spoke topologijom. Potrebna je statička konfiguracija Huba i statičko vezanje Spokea na Hub, kao i interakcija putem NHRP protokola za formiranje povezivosti podatkovne ravnine. Posljedično, značajno otežavaju promjene u Hubuvezano, na primjer, za promjenu/spajanje novih WAN kanala ili promjenu parametara postojećih.
  • в SD WAN je potpuno dinamički model za otkrivanje parametara instaliranih tunela temeljen na ravnini upravljanja (OMP protokol) i ravnini orkestracije (interakcija s kontrolerom vBond za detekciju kontrolera i zadatke prolaska NAT-a). U tom slučaju mogu se koristiti bilo koje superponirane topologije, uključujući i hijerarhijske. Unutar uspostavljene topologije overlay tunela moguća je fleksibilna konfiguracija logičke topologije u svakom pojedinom VPN-u (VRF).

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Kontrolna ravnina – funkcije razmjene, filtriranja i modifikacije usmjeravanja i drugih informacija između komponenti rješenja.

  • в DMVPN/PfR – provodi se samo između Hub i Spoke usmjerivača. Izravna razmjena informacija o usmjeravanju između žbica nije moguća. Posljedično, Bez funkcionalnog čvorišta, upravljačka i podatkovna razina ne mogu funkcionirati, što Hubu nameće dodatne zahtjeve visoke dostupnosti koji se ne mogu uvijek ispuniti.
  • в SD WAN – control-plane se nikada ne provodi izravno između usmjerivača – interakcija se odvija na temelju OMP protokola i nužno se provodi preko zasebnog specijaliziranog tipa vSmart kontrolera, koji pruža mogućnost balansiranja, geo-rezervacije i centralizirane kontrole nad opterećenje signala. Još jedna značajka OMP protokola je njegova značajna otpornost na gubitke i neovisnost o brzini komunikacijskog kanala s kontrolerima (naravno, u razumnim granicama). Što jednako uspješno omogućuje postavljanje SD-WAN kontrolera u javne ili privatne oblake s pristupom putem interneta.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Politika-ravnina – dio rješenja odgovornog za definiranje, distribuciju i primjenu politika upravljanja prometom na distribuiranoj mreži.

  • DMVPN – učinkovito je ograničeno politikama kvalitete usluge (QoS) konfiguriranim pojedinačno na svakom usmjerivaču putem predložaka CLI ili Prime Infrastructure.
  • DMVPN/PfR – PfR politike se formiraju na centraliziranom glavnom kontroleru (MC) usmjerivaču preko CLI-ja i zatim se automatski distribuiraju podružnicama MC. U ovom slučaju koriste se isti putovi prijenosa politike kao i za podatkovnu razinu. Ne postoji mogućnost razdvajanja razmjene pravila, informacija o usmjeravanju i korisničkih podataka. Propagiranje pravila zahtijeva prisutnost IP povezivosti između Huba i Spokea. U tom slučaju, MC funkcija može se, ako je potrebno, kombinirati s DMVPN usmjerivačem. Moguće je (ali nije potrebno) koristiti predloške Prime Infrastructure za centralizirano generiranje pravila. Važna značajka je da se politika formira globalno u cijeloj mreži na isti način - Pojedinačna pravila za pojedinačne segmente nisu podržana.
  • SD WAN – upravljanje prometom i politike kvalitete usluge određuju se centralno putem Cisco vManage grafičkog sučelja, dostupnog i putem interneta (ako je potrebno). Distribuiraju se putem signalnih kanala izravno ili neizravno preko vSmart kontrolera (ovisno o vrsti politike). Oni ne ovise o povezivanju podatkovne ravnine između usmjerivača, jer koristiti sve dostupne prometne putove između kontrolera i usmjerivača.

    Za različite segmente mreže moguće je fleksibilno formulirati različite politike - opseg politike određen je mnogim jedinstvenim identifikatorima koji se nalaze u rješenju - broj poslovnice, vrsta aplikacije, smjer prometa itd.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Orkestracija-ravnina – mehanizmi koji omogućuju komponentama da dinamički detektiraju jedna drugu, konfiguriraju i koordiniraju naknadne interakcije.

  • в DMVPN/PfR Uzajamno otkrivanje između usmjerivača temelji se na statičkoj konfiguraciji Hub uređaja i odgovarajućoj konfiguraciji Spoke uređaja. Dinamičko otkrivanje događa se samo za Spoke, koji prijavljuje svoje Hub parametre veze uređaju, koji je zauzvrat unaprijed konfiguriran sa Spokeom. Bez IP povezivanja između Spokea i barem jednog Huba, nemoguće je formirati ni podatkovnu ni kontrolnu ravninu.
  • в SD WAN orkestracija komponenti rješenja događa se korištenjem vBond kontrolera, s kojim svaka komponenta (usmjerivači i vManage/vSmart kontroleri) prvo mora uspostaviti IP vezu.

    U početku, komponente ne znaju za međusobne parametre povezivanja - za to im je potreban vBond posrednički orkestrator. Opći princip je sljedeći - svaka komponenta u početnoj fazi uči (automatski ili statički) samo o parametrima veze na vBond, zatim vBond obavještava usmjerivač o vManage i vSmart kontrolerima (ranije otkrivenim), što omogućuje automatsku uspostavu sve potrebne signalne veze.

    Sljedeći korak je da novi usmjerivač uči o drugim usmjerivačima na mreži putem OMP komunikacije s vSmart kontrolerom. Dakle, usmjerivač, bez da u početku zna bilo što o mrežnim parametrima, može potpuno automatski detektirati i povezati se s kontrolerima, a zatim također automatski detektirati i uspostaviti vezu s drugim ruterima. U ovom slučaju, parametri povezivanja svih komponenti u početku su nepoznati i mogu se promijeniti tijekom rada.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Ravnina upravljanja – dio rješenja koji omogućuje centralizirano upravljanje i nadzor.

  • DMVPN/PfR – nije osigurano specijalizirano rješenje ravni upravljanja. Za osnovnu automatizaciju i nadzor mogu se koristiti proizvodi kao što je Cisco Prime Infrastructure. Svaki usmjerivač ima mogućnost upravljanja putem CLI naredbenog retka. Nije omogućena integracija s vanjskim sustavima putem API-ja.
  • SD WAN – sva redovita interakcija i nadzor provode se centralno preko grafičkog sučelja kontrolera vManage. Sve značajke rješenja, bez iznimke, dostupne su za konfiguraciju kroz vManage, kao i kroz potpuno dokumentiranu REST API biblioteku.

    Sve postavke SD-WAN mreže u vManageu svode se na dvije glavne konstrukcije – formiranje predložaka uređaja (Device Template) i formiranje politike koja određuje logiku rada mreže i obradu prometa. Istovremeno, vManage, emitirajući politiku koju generira administrator, automatski odabire koje promjene i na kojim pojedinim uređajima/kontrolerima je potrebno izvršiti, što značajno povećava učinkovitost i skalabilnost rješenja.

    Kroz vManage sučelje dostupna je ne samo konfiguracija Cisco SD-WAN rješenja, već i potpuno praćenje statusa svih komponenti rješenja, do trenutnog stanja metrike za pojedine tunele i statistike korištenja različitih aplikacija. na temelju DPI analize.

    Unatoč centralizaciji interakcije, sve komponente (kontroleri i usmjerivači) također imaju potpuno funkcionalnu CLI naredbenu liniju, koja je neophodna u fazi implementacije ili u slučaju nužde za lokalnu dijagnostiku. U normalnom načinu rada (ako postoji signalni kanal između komponenti) na ruterima, naredbena linija je dostupna samo za dijagnostiku i nije dostupna za unošenje lokalnih promjena, što jamči lokalnu sigurnost i jedini izvor promjena u takvoj mreži je vManage.

Integrirana sigurnost – ovdje govorimo ne samo o zaštiti korisničkih podataka pri prijenosu otvorenim kanalima, već io ukupnoj sigurnosti WAN mreže temeljene na odabranoj tehnologiji.

  • в DMVPN/PfR Moguće je šifrirati korisničke podatke i signalne protokole. Kod korištenja određenih modela usmjerivača dodatno su dostupne funkcije vatrozida s pregledom prometa, IPS/IDS. Moguće je segmentirati mreže poslovnica pomoću VRF-a. Moguće je autentificirati (jednofaktorske) protokole kontrole.

    U tom se slučaju udaljeni usmjerivač prema zadanim postavkama smatra pouzdanim elementom mreže - tj. ne pretpostavljaju se i ne uzimaju u obzir slučajevi fizičke kompromitacije pojedinih uređaja i mogućnosti neovlaštenog pristupa istima, ne postoji dvofaktorska autentifikacija komponenti rješenja, što je u slučaju geografski distribuirane mreže može nositi značajne dodatne rizike.

  • в SD WAN analogno DMVPN-u, omogućena je mogućnost šifriranja korisničkih podataka, ali sa značajno proširenom mrežnom sigurnošću i L3/VRF segmentacijskim funkcijama (firewall, IPS/IDS, URL filtriranje, DNS filtriranje, AMP/TG, SASE, TLS/SSL proxy, itd.) d.). Istovremeno, razmjena enkripcijskih ključeva provodi se učinkovitije putem vSmart kontrolera (umjesto izravno), putem unaprijed uspostavljenih signalnih kanala zaštićenih DTLS/TLS enkripcijom na temelju sigurnosnih certifikata. Što pak jamči sigurnost takvih razmjena i osigurava bolju skalabilnost rješenja do desetaka tisuća uređaja na istoj mreži.

    Sve signalne veze (kontroler-kontroler, kontroler-usmjerivač) također su zaštićene na temelju DTLS/TLS-a. Routeri su opremljeni sigurnosnim certifikatima tijekom proizvodnje s mogućnošću zamjene/produljenja. Dvofaktorska autentifikacija postiže se obaveznim i simultanim ispunjavanjem dvaju uvjeta za rad rutera/kontrolera u SD-WAN mreži:

    • Valjani sigurnosni certifikat
    • Eksplicitno i svjesno uključivanje svake komponente od strane administratora na "bijelu" listu dopuštenih uređaja.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Funkcionalne razlike između SD-WAN-a i DMVPN/PfR

Prelazeći na raspravu o funkcionalnim razlikama, valja napomenuti da su mnoge od njih nastavak arhitektonskih - nije tajna da pri oblikovanju arhitekture rješenja programeri polaze od mogućnosti koje žele dobiti na kraju. Pogledajmo najznačajnije razlike između dviju tehnologija.

AppQ (Application Quality) – funkcionira za osiguranje kvalitete prijenosa prometa poslovnih aplikacija

Ključne funkcije razmatranih tehnologija usmjerene su na poboljšanje korisničkog iskustva što je više moguće pri korištenju poslovno kritičnih aplikacija u distribuiranoj mreži. To je posebno važno u uvjetima kada dio infrastrukture nije IT kontroliran ili čak ne jamči uspješan prijenos podataka.

DMVPN sam ne pruža takve mehanizme. Najbolje što se može učiniti u klasičnoj DMVPN mreži je klasificirati odlazni promet prema aplikaciji i odrediti mu prioritet kada se prenosi prema WAN kanalu. Izbor DMVPN tunela u ovom je slučaju određen samo njegovom dostupnošću i rezultatom rada protokola usmjeravanja. U isto vrijeme, end-to-end stanje puta/tunela i njegova moguća djelomična degradacija nisu uzeti u obzir u smislu ključnih metrika koje su značajne za mrežne aplikacije - kašnjenje, varijacija kašnjenja (jitter) i gubici (% ). S tim u vezi, izravna usporedba klasičnog DMVPN-a sa SD-WAN-om u smislu rješavanja AppQ problema gubi svaki smisao – DMVPN ne može riješiti ovaj problem. Kada u ovaj kontekst dodate tehnologiju Cisco Performance Routing (PfR), situacija se mijenja i usporedba s Cisco SD-WAN postaje smislenija.

Prije nego što razgovaramo o razlikama, evo kratkog pregleda u čemu su tehnologije slične. Dakle, obje tehnologije:

  • imaju mehanizam koji vam omogućuje dinamičku procjenu stanja svakog uspostavljenog tunela u smislu određene metrike - minimalno kašnjenje, varijacija kašnjenja i gubitak paketa (%)
  • koristiti određeni skup alata za formiranje, distribuciju i primjenu pravila (politika) upravljanja prometom, uzimajući u obzir rezultate mjerenja stanja ključnih metrika tunela.
  • klasificirati aplikacijski promet na razinama L3-L4 (DSCP) OSI modela ili pomoću L7 aplikacijskih potpisa na temelju DPI mehanizama ugrađenih u usmjerivač
  • Za značajne aplikacije, oni vam omogućuju određivanje prihvatljivih vrijednosti praga metrike, pravila za prijenos prometa prema zadanim postavkama i pravila za preusmjeravanje prometa kada se prekorače vrijednosti praga.
  • Prilikom enkapsulacije prometa u GRE/IPSec koriste već uspostavljen industrijski mehanizam za prijenos internih DSCP oznaka u eksterno GRE/IPSEC zaglavlje paketa, što omogućuje sinkronizaciju QoS politika organizacije i telekom operatera (ako postoji odgovarajući SLA) .

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Kako se end-to-end metrika razlikuje od SD-WAN i DMVPN/PfR?

DMVPN/PfR

  • I aktivni i pasivni softverski senzori (sonde) koriste se za procjenu standardnih pokazatelja zdravlja tunela. Aktivni se temelje na korisničkom prometu, pasivni oponašaju takav promet (u nedostatku).
  • Nema finog podešavanja mjerača vremena i uvjeta detekcije degradacije - algoritam je fiksan.
  • Dodatno, dostupno je mjerenje korištene propusnosti u odlaznom smjeru. Što dodaje dodatnu fleksibilnost upravljanja prometom DMVPN/PfR.
  • U isto vrijeme, neki PfR mehanizmi, kada se metrika premaši, oslanjaju se na povratnu signalizaciju u obliku posebnih TCA (Threshold Crossing Alert) poruka koje moraju doći od primatelja prometa prema izvoru, što zauzvrat pretpostavlja da je stanje izmjereni kanali trebali bi biti barem dovoljni za prijenos takvih TCA poruka. Što u većini slučajeva nije problem, ali se očito ne može jamčiti.

SD WAN

  • Za end-to-end procjenu standardne metrike stanja tunela, BFD protokol se koristi u echo modu. U tom slučaju nije potrebna posebna povratna informacija u obliku TCA ili sličnih poruka - održava se izolacija domena kvara. Također ne zahtijeva prisutnost korisničkog prometa za procjenu stanja tunela.
  • Moguće je fino podesiti BFD timere za reguliranje brzine odgovora i osjetljivosti algoritma na degradaciju komunikacijskog kanala od nekoliko sekundi do minuta.

    Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

  • U vrijeme pisanja, postoji samo jedna BFD sesija u svakom tunelu. Ovo potencijalno stvara manju granularnost u analizi stanja tunela. U stvarnosti, ovo može postati ograničenje samo ako koristite WAN vezu temeljenu na MPLS L2/L3 VPN s dogovorenim QoS SLA - ako DSCP označavanje BFD prometa (nakon enkapsulacije u IPSec/GRE) odgovara redu čekanja visokog prioriteta u mreže telekom operatera, to može utjecati na točnost i brzinu otkrivanja degradacije za promet niskog prioriteta. U isto vrijeme, moguće je promijeniti zadano BFD označavanje kako bi se smanjio rizik od takvih situacija. U budućim verzijama softvera Cisco SD-WAN očekuju se finije podešene BFD postavke, kao i mogućnost pokretanja više BFD sesija unutar istog tunela s pojedinačnim DSCP vrijednostima (za različite aplikacije).
  • BFD vam dodatno omogućuje procjenu maksimalne veličine paketa koji se može prenijeti kroz određeni tunel bez fragmentacije. To omogućuje SD-WAN-u dinamičku prilagodbu parametara kao što su MTU i TCP MSS Adjust kako bi se maksimalno iskoristila dostupna propusnost na svakoj vezi.
  • U SD-WAN-u je također dostupna opcija QoS sinkronizacije od telekom operatera, ne samo na temelju L3 DSCP polja, već i na temelju L2 CoS vrijednosti, koje se mogu automatski generirati u mreži poslovnica od strane specijaliziranih uređaja - npr. IP telefoni

Kako se razlikuju mogućnosti, metode definiranja i primjene AppQ pravila?

Pravila DMVPN/PfR:

  • Definirano na usmjerivačima središnje podružnice putem CLI naredbenog retka ili CLI konfiguracijskih predložaka. Generiranje CLI predložaka zahtijeva pripremu i poznavanje sintakse pravila.

    Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

  • Definirano globalno bez mogućnosti individualne konfiguracije/promjene prema zahtjevima pojedinih segmenata mreže.
  • Interaktivno generiranje pravila nije omogućeno u grafičkom sučelju.
  • Praćenje promjena, nasljeđivanje i stvaranje više verzija pravila za brzo prebacivanje nisu dostupni.
  • Automatski se distribuira usmjerivačima udaljenih podružnica. U ovom slučaju koriste se isti komunikacijski kanali kao i za prijenos korisničkih podataka. Ako ne postoji komunikacijski kanal između središnje i udaljene podružnice, distribucija/promjena politika je nemoguća.
  • Koriste se na svakom usmjerivaču i, ako je potrebno, modificiraju rezultat standardnih protokola usmjeravanja, s višim prioritetom.
  • Za slučajeve kada sve podružnice WAN veze imaju značajan gubitak prometa, nisu predviđeni mehanizmi kompenzacije.

SD-WAN pravila:

  • Definirano u vManage GUI kroz interaktivni čarobnjak za predloške.
  • Podržava stvaranje više pravila, kopiranje, nasljeđivanje, prebacivanje između pravila u stvarnom vremenu.
  • Podržava pojedinačne postavke pravila za različite mrežne segmente (grane)
  • Distribuiraju se pomoću bilo kojeg dostupnog signalnog kanala između kontrolera i usmjerivača i/ili vSmarta - ne ovise izravno o povezivanju podatkovne ravnine između usmjerivača. Ovo, naravno, zahtijeva IP povezivanje između samog usmjerivača i kontrolera.

    Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

  • Za slučajeve kada svi dostupni ogranci ogranka dožive značajne gubitke podataka koji prelaze prihvatljive pragove za kritične aplikacije, moguće je koristiti dodatne mehanizme koji povećavaju pouzdanost prijenosa:
    • FEC (Forward Error Correction) – koristi poseban redundantni algoritam kodiranja. Prilikom prijenosa kritičnog prometa preko kanala sa značajnim postotkom gubitaka, FEC se može automatski aktivirati i omogućuje, ako je potrebno, vraćanje izgubljenog dijela podataka. Ovo malo povećava korištenu propusnost prijenosa, ali značajno poboljšava pouzdanost.

      Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

    • Dupliciranje tokova podataka – Osim FEC-a, politika može predvidjeti automatsko dupliciranje prometa odabranih aplikacija u slučaju još veće razine gubitaka koje FEC ne može nadoknaditi. U ovom slučaju, odabrani podaci će se prenijeti kroz sve tunele prema prijemnoj grani uz naknadnu de-duplikaciju (ispuštanje dodatnih kopija paketa). Mehanizam značajno povećava iskoristivost kanala, ali i značajno povećava pouzdanost prijenosa.

Cisco SD-WAN mogućnosti, bez izravnih analoga u DMVPN/PfR

Arhitektura Cisco SD-WAN rješenja u nekim slučajevima omogućuje dobivanje mogućnosti koje je ili izuzetno teško implementirati unutar DMVPN/PfR, ili su nepraktične zbog potrebnih troškova rada, ili su potpuno nemoguće. Pogledajmo najzanimljivije od njih:

Prometno inženjerstvo (TE)

TE uključuje mehanizme koji omogućuju grananje prometa izvan standardne staze koju formiraju protokoli usmjeravanja. TE se često koristi za osiguranje visoke dostupnosti mrežnih usluga, kroz mogućnost brzog i/ili proaktivnog prijenosa kritičnog prometa na alternativni (nepovezani) prijenosni put, kako bi se osigurala bolja kvaliteta usluge ili brzina oporavka u slučaju kvara. na glavnoj stazi.

Poteškoća u implementaciji TE leži u potrebi da se unaprijed izračuna i rezervira (provjeri) alternativni put. U MPLS mrežama telekom operatera ovaj problem je riješen tehnologijama poput MPLS Traffic-Engineering s proširenjima IGP protokola i RSVP protokola. Nedavno je postala sve popularnija i tehnologija usmjeravanja po segmentima, koja je više optimizirana za centraliziranu konfiguraciju i orkestraciju. U klasičnim WAN mrežama ove tehnologije obično nisu zastupljene ili su svedene na korištenje hop-by-hop mehanizama kao što je Policy-Based Routing (PBR), koji mogu granati promet, ali to implementiraju na svakom usmjerivaču zasebno - bez preuzimanja uzeti u obzir ukupno stanje mreže ili PBR rezultat u prethodnim ili sljedećim koracima. Rezultat korištenja ovih TE opcija je razočaravajući - MPLS TE se, zbog složenosti konfiguracije i rada, u pravilu koristi samo u najkritičnijem dijelu mreže (core), a PBR se koristi na pojedinačnim usmjerivačima bez mogućnost stvaranja jedinstvene PBR politike za cijelu mrežu. Očito, ovo se također odnosi na mreže temeljene na DMVPN.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

SD-WAN u tom pogledu nudi mnogo elegantnije rješenje koje ne samo da je lako konfigurirati, već se i mnogo bolje mjeri. To je rezultat korištene arhitekture ravni upravljanja i ravni politike. Implementacija plana politike u SD-WAN-u omogućuje centralno definiranje TE politike - koji je promet od interesa? za koje VPN-ove? Kroz koje čvorove/tunele je potrebno ili, obrnuto, zabranjeno formirati alternativnu rutu? Zauzvrat, centralizacija upravljanja kontrolnom ravninom koja se temelji na vSmart kontrolerima omogućuje izmjenu rezultata usmjeravanja bez pribjegavanja postavkama pojedinačnih uređaja - usmjerivači već vide samo rezultat logike koji je generiran u vManage sučelju i prenesen za korištenje na vSmart.

Servisno ulančavanje

Formiranje uslužnih lanaca još je zahtjevniji zadatak u klasičnom usmjeravanju nego već opisani mehanizam prometnog inženjeringa. Doista, u ovom slučaju, potrebno je ne samo stvoriti posebnu rutu za određenu mrežnu aplikaciju, već i osigurati mogućnost uklanjanja prometa s mreže na određenim (ili svim) čvorovima SD-WAN mreže za obradu od strane posebna aplikacija ili usluga (vatrozid, balansiranje, predmemorija, inspekcija prometa itd.). U isto vrijeme, potrebno je moći kontrolirati stanje ovih vanjskih usluga kako bi se spriječile situacije crne rupe, a također su potrebni mehanizmi koji omogućuju da se takve vanjske usluge iste vrste smjeste na različite geolokacije uz mogućnost mreže da automatski odabere najoptimalniji servisni čvor za obradu prometa pojedine poslovnice . U slučaju Cisco SD-WAN-a, to je prilično lako postići stvaranjem odgovarajuće centralizirane politike koja "lijepi" sve aspekte ciljnog lanca usluge u jedinstvenu cjelinu i automatski mijenja logiku podatkovne ravnine i kontrolne ravnine samo tamo gdje i kada je potrebno.

Hoće li Cisco SD-WAN odsjeći granu na kojoj se nalazi DMVPN?

Mogućnost kreiranja geo-distribuirane obrade prometa odabranih tipova aplikacija u određenom slijedu na specijaliziranoj (ali nevezanoj za samu SD-WAN mrežu) opremi je možda najjasniji prikaz prednosti Cisco SD-WAN-a u odnosu na klasični tehnologije pa čak i neka alternativna SD rješenja -WAN drugih proizvođača.

Rezultat?

Očito, i DMVPN (sa ili bez usmjeravanja performansi) i Cisco SD-WAN završiti rješavanjem vrlo sličnih problema u odnosu na distribuiranu WAN mrežu organizacije. Istodobno, značajne arhitektonske i funkcionalne razlike u Cisco SD-WAN tehnologiji dovode do procesa rješavanja ovih problema na drugu razinu kvalitete. Ukratko, možemo primijetiti sljedeće značajne razlike između SD-WAN i DMVPN/PfR tehnologija:

  • DMVPN/PfR općenito koriste vremenski testirane tehnologije za izgradnju preklapajućih VPN mreža i, u smislu podatkovne ravnine, slični su modernijoj SD-WAN tehnologiji, međutim, postoji niz ograničenja u obliku obvezne statičke konfiguracije usmjerivača, a izbor topologija ograničen je na Hub-n-Spoke. S druge strane, DMVPN/PfR ima neke funkcije koje još nisu dostupne unutar SD-WAN-a (govorimo o BFD-u po aplikaciji).
  • Unutar kontrolne razine tehnologije se bitno razlikuju. Uzimajući u obzir centraliziranu obradu signalnih protokola, SD-WAN omogućuje, posebno, značajno sužavanje domena kvarova i "odvajanje" procesa prijenosa korisničkog prometa od signalne interakcije - privremena nedostupnost kontrolera ne utječe na sposobnost prijenosa korisničkog prometa . Istodobno, privremena nedostupnost bilo koje podružnice (uključujući središnju) ni na koji način ne utječe na sposobnost drugih podružnica da međusobno komuniciraju i s kontrolorima.
  • Arhitektura za formiranje i primjenu politika upravljanja prometom u slučaju SD-WAN-a također je bolja od one u DMVPN/PfR - geo-rezervacija je puno bolje implementirana, nema veze sa Hubom, ima više mogućnosti za fino -tuning policy, popis implementiranih scenarija upravljanja prometom također je puno veći.
  • Proces orkestracije rješenja također je značajno drugačiji. DMVPN pretpostavlja prisutnost prethodno poznatih parametara koji se moraju nekako odraziti na konfiguraciju, što donekle ograničava fleksibilnost rješenja i mogućnost dinamičkih promjena. S druge strane, SD-WAN se temelji na paradigmi da u početnom trenutku povezivanja usmjerivač "ne zna ništa" o svojim kontrolerima, ali zna "koga možete pitati" - to je dovoljno ne samo da automatski uspostavi komunikaciju s kontrolere, ali i za automatsko formiranje potpuno povezane topologije podatkovne ravnine, koja se zatim može fleksibilno konfigurirati/promijeniti pomoću pravila.
  • U smislu centraliziranog upravljanja, automatizacije i nadzora, očekuje se da će SD-WAN nadmašiti mogućnosti DMVPN/PfR, koji su se razvili iz klasičnih tehnologija i više se oslanjaju na CLI naredbeni redak i korištenje NMS sustava temeljenih na predlošcima.
  • U SD-WAN-u, u usporedbi s DMVPN-om, sigurnosni zahtjevi dosegli su drugačiju kvalitativnu razinu. Glavni principi su nulto povjerenje, skalabilnost i autentifikacija u dva faktora.

Ovi jednostavni zaključci mogu ostaviti pogrešan dojam da je stvaranje mreže temeljene na DMVPN/PfR danas izgubilo svaki značaj. To naravno nije u potpunosti točno. Na primjer, u slučajevima kada mreža koristi puno zastarjele opreme i nema načina da je zamijenite, DMVPN vam može omogućiti kombiniranje "starih" i "novih" uređaja u jednu geo-distribuiranu mrežu s mnogim opisanim prednostima iznad.

S druge strane, treba imati na umu da svi aktualni Cisco korporativni usmjerivači temeljeni na IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) danas podržavaju bilo koji način rada - i klasično usmjeravanje i DMVPN i SD-WAN - izbor je određen trenutnim potrebama i razumijevanjem da se u svakom trenutku, koristeći istu opremu, možete početi kretati prema naprednijoj tehnologiji.

Izvor: www.habr.com

Dodajte komentar