ProHoster > Blog > Administrasyon an > Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Depi mwa Out 2017, lè Cisco te achte Viptela, teknoloji prensipal yo ofri pou òganize rezo antrepriz distribiye te vin tounen Cisco SD-WAN. Pandan 3 ane ki sot pase yo, teknoloji SD-WAN te ale nan anpil chanjman, tou de kalitatif ak quantitative. Se konsa, fonksyonalite a te elaji anpil ak sipò te parèt sou routeurs klasik nan seri a Cisco ISR 1000, ISR 4000, ASR 1000 ak Virtual CSR 1000v. An menm tan an, anpil kliyan ak patnè Cisco kontinye ap mande tèt yo: ki diferans ki genyen ant Cisco SD-WAN ak apwòch deja abitye ki baze sou teknoloji tankou Cisco DMVPN и Cisco pèfòmans routage e ki enpòtans diferans sa yo?

Isit la nou ta dwe imedyatman fè yon rezèvasyon ke anvan avènement de SD-WAN nan dosye Cisco a, DMVPN ansanm ak PfR te fòme yon pati kle nan achitekti a. Cisco IWAN (WAN entèlijan), ki an vire te predesesè teknoloji SD-WAN plen véritable. Malgre resanblans jeneral tou de travay yo te rezoud ak metòd pou rezoud yo, IWAN pa janm te resevwa nivo automatisation, fleksibilite ak évolutivité ki nesesè pou SD-WAN, ak sou tan, devlopman IWAN te siyifikativman diminye. An menm tan an, teknoloji ki fè IWAN yo pa disparèt, e anpil kliyan kontinye sèvi ak yo avèk siksè, tankou sou ekipman modèn. Kòm yon rezilta, yon sitiyasyon enteresan parèt - menm ekipman Cisco pèmèt ou chwazi teknoloji WAN ki pi apwopriye (klasik, DMVPN + PfR oswa SD-WAN) an akò ak egzijans ak atant kliyan yo.

Atik la pa gen entansyon analize an detay tout karakteristik Cisco SD-WAN ak teknoloji DMVPN (avèk oswa san pèfòmans routage) - gen yon gwo kantite dokiman ak materyèl ki disponib pou sa. Travay prensipal la se eseye evalye diferans ki genyen ant teknoloji sa yo. Men, anvan nou kontinye diskite sou diferans sa yo, se pou nou sonje yon ti tan teknoloji yo tèt yo.

Ki sa ki Cisco DMVPN e poukisa li nesesè?

Cisco DMVPN rezoud pwoblèm nan koneksyon dinamik (= évolutive) nan yon rezo branch aleka nan rezo a nan biwo santral la nan yon antrepriz lè w ap itilize kalite abitrè nan chanèl kominikasyon, ki gen ladan entènèt la (= ak chifreman nan kanal la kominikasyon). Teknikman, sa a reyalize lè w kreye yon rezo kouvri virtualize nan klas L3 VPN nan mòd pwen-a-multipwen ak yon topoloji lojik nan kalite "Star" (Hub-n-Spoke). Pou reyalize sa, DMVPN itilize yon konbinezon de teknoloji sa yo:

  • IP routage
  • Tinèl multipwen GRE (mGRE)
  • Pwotokòl rezolisyon pwochen hop (NHRP)
  • Des IPSec Crypto

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Ki avantaj prensipal Cisco DMVPN konpare ak routage klasik lè l sèvi avèk chanèl MPLS VPN?

  • Pou kreye yon rezo interbranch, li posib pou itilize nenpòt chanèl kominikasyon - nenpòt bagay ki ka bay koneksyon IP ant branch yo apwopriye, pandan y ap trafik la ap chiffres (kote sa nesesè) ak ekilibre (kote sa posib)
  • Yon topoloji konplètman konekte ant branch yo otomatikman fòme. An menm tan an, gen tinèl estatik ant branch santral ak aleka, ak tinèl dinamik sou demann ant branch yo aleka (si gen trafik)
  • Routeur yo nan branch santral la ak aleka gen menm konfigirasyon an jiska adrès IP yo nan interfaces yo. Lè w sèvi ak mGRE, pa gen okenn nesesite endividyèlman configured dè dizèn, dè santèn, oswa menm dè milye de tinèl. Kòm yon rezilta, évolutivité desan ak konsepsyon an dwa.

Ki sa ki Cisco Performance Routing e poukisa li nesesè?

Lè w ap itilize DMVPN sou yon rezo interbranch, yon kesyon ki enpòtan anpil rete pa rezoud - kijan pou evalye dinamikman eta a nan chak tinèl DMVPN yo pou konfòmite ak egzijans trafik kritik pou òganizasyon nou an epi, ankò, baze sou yon evalyasyon konsa, dinamikman fè yon desizyon sou reroutaj? Reyalite a se ke DMVPN nan pati sa a diferan ti kras de routage klasik - pi bon an ki ka fè se konfigirasyon mekanis QoS ki pral pèmèt ou bay priyorite trafik nan direksyon an sortan, men yo nan okenn fason kapab pran an kont eta a nan. chemen an antye nan yon sèl fwa oswa yon lòt.

Ak sa pou w fè si kanal la degrade pasyèlman epi yo pa konplètman - ki jan yo detekte ak evalye sa a? DMVPN li menm pa ka fè sa. Lè ou konsidere ke chanèl ki konekte branch yo ka pase atravè operatè telecom konplètman diferan, lè l sèvi avèk teknoloji konplètman diferan, travay sa a vin trè ki pa trivial. Lè sa a se kote teknoloji Cisco Performance Routing vin pote sekou, ki nan tan sa a te deja ale nan plizyè etap nan devlopman.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Travay la nan Cisco Pèfòmans Routing (apwe PfR) vini desann nan mezire eta a nan chemen (tinèl) nan trafik ki baze sou mezi kle enpòtan pou aplikasyon rezo - latansi, varyasyon latansi (jitter) ak pèt pake (pousantaj). Anplis de sa, yo ka mezire bandwidth itilize a. Mezi sa yo fèt pi pre tan reyèl ke posib ak jistifye, ak rezilta mezi sa yo pèmèt routeur la lè l sèvi avèk PfR dinamik pran desizyon sou bezwen an chanje wout sa a oswa ki kalite trafik.

Kidonk, travay konbinezon DMVPN/PfR a ka dekri yon ti tan jan sa a:

  • Pèmèt kliyan an sèvi ak nenpòt chanèl kominikasyon sou rezo WAN la
  • Asire pi wo kalite posib aplikasyon kritik sou chanèl sa yo

Ki sa ki Cisco SD-WAN?

Cisco SD-WAN se yon teknoloji ki itilize apwòch SDN pou kreye ak opere rezo WAN yon òganizasyon. Sa a an patikilye vle di itilizasyon sa yo rele kontwolè (eleman lojisyèl), ki bay òkestrasyon santralize ak konfigirasyon otomatik nan tout konpozan solisyon yo. Kontrèman ak SDN nan kanonik (stil pwòp adwaz), Cisco SD-WAN sèvi ak plizyè kalite contrôleur, chak nan yo ki fè pwòp wòl li - sa a te fè entansyonèlman yo nan lòd yo bay pi bon évolutivité ak jeo-redondans.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Nan ka a nan SD-WAN, travay la nan sèvi ak nenpòt kalite chanèl ak asire operasyon an nan aplikasyon pou biznis rete menm jan an, men an menm tan an, kondisyon yo pou automatisation, évolutivité, sekirite ak fleksibilite nan yon rezo konsa elaji.

Diskisyon sou diferans

Si kounye a nou kòmanse analize diferans ki genyen ant teknoloji sa yo, yo pral tonbe nan youn nan kategori sa yo:

  • Diferans achitekti - ki jan fonksyon yo distribye atravè divès eleman nan solisyon an, ki jan entèraksyon an nan eleman sa yo òganize, ak ki jan sa a afekte kapasite yo ak fleksibilite nan teknoloji a?
  • Fonksyonalite - ki sa yon teknoloji ka fè yon lòt pa kapab? Epi èske li vrèman enpòtan konsa?

Ki diferans ki genyen nan achitekti e yo enpòtan?

Chak nan teknoloji sa yo gen anpil "pati k ap deplase" ki diferan non sèlman nan wòl yo, men tou nan fason yo kominike youn ak lòt. Ki jan prensip sa yo byen panse ak mekanik jeneral solisyon an dirèkteman detèmine évolutivité li yo, tolerans fay ak efikasite an jeneral.

Ann gade nan divès aspè nan achitekti a nan plis detay:

Done-avyon – yon pati nan solisyon an ki responsab pou transmèt trafik itilizatè ant sous la ak moun k ap resevwa a. DMVPN ak SD-WAN yo aplike jeneralman idantik sou routeurs tèt yo ki baze sou tinèl Multipoint GRE. Diferans lan se ki jan seri paramèt ki nesesè pou tinèl sa yo fòme:

  • в DMVPN/PfR se yon yerachi sèlman de nivo nan nœuds ak yon topoloji Star oswa Hub-n-Spoke. Konfigirasyon estatik Hub la ak lyezon estatik Spoke ak Hub la obligatwa, ansanm ak entèraksyon atravè pwotokòl NHRP pou fòme koneksyon done-avyon. An konsekans, fè chanjman nan Hub la siyifikativman pi difisilki gen rapò, pou egzanp, chanje/konekte nouvo chanèl WAN oswa chanje paramèt yo ki deja egziste.
  • в SD WAN se yon modèl totalman dinamik pou detekte paramèt tinèl enstale ki baze sou kontwòl-avyon (pwotokòl OMP) ak orchestration-avyon (entèraksyon ak kontwolè vBond pou deteksyon kontwolè ak travay NAT traversal). Nan ka sa a, nenpòt topoloji sipèpoze ka itilize, ki gen ladan yo yerarchize. Nan topoloji tinèl ki te etabli an, konfigirasyon fleksib nan topoloji lojik nan chak VPN (VRF) se posib.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Kontwòl-avyon – fonksyon echanj, filtraj ak modifikasyon routage ak lòt enfòmasyon ant konpozan solisyon yo.

  • в DMVPN/PfR – te pote soti sèlman ant Hub ak Spoke routeurs. Echanj dirèk enfòmasyon sou routage ant Spokes pa posib. An konsekans, San yon Hub k ap fonksyone, plan kontwòl ak plan done pa ka fonksyone, ki enpoze kondisyon adisyonèl segondè disponiblite sou Hub la ki pa ka toujou satisfè.
  • в SD WAN – kontwòl-avyon pa janm fèt dirèkteman ant routeurs – entèraksyon fèt sou baz pwotokòl OMP la epi li nesesèman te pote soti nan yon kalite separe espesyalize nan kontwolè vSmart, ki bay posiblite pou balanse, jeo-rezèvasyon ak kontwòl santralize nan la. chaj siyal. Yon lòt karakteristik nan pwotokòl la OMP se rezistans enpòtan li nan pèt ak endepandans nan vitès la nan kanal la kominikasyon ak contrôleur (nan limit rezonab, nan kou). Ki egalman siksè pèmèt ou mete SD-WAN contrôleur nan nwaj piblik oswa prive ak aksè atravè entènèt la.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Politik-avyon – yon pati nan solisyon an ki responsab pou defini, distribye ak aplike règleman jesyon trafik sou yon rezo distribiye.

  • DMVPN – se efektivman limite pa bon jan kalite sèvis (QoS) politik configuré endividyèlman sou chak routeur atravè modèl yo CLI oswa Prime Infrastructure.
  • DMVPN/PfR – Règ PfR yo fòme sou routeur santralize Master Controller (MC) atravè CLI a epi yo distribye otomatikman nan branch MC yo. Nan ka sa a, yo itilize menm chemen transfè politik yo tankou pou avyon done a. Pa gen okenn posibilite pou separe echanj politik, enfòmasyon routage ak done itilizatè. Pwopagasyon politik mande pou prezans koneksyon IP ant Hub la ak Spoke. Nan ka sa a, fonksyon MC ka, si sa nesesè, dwe konbine avèk yon routeur DMVPN. Li posib (men pa obligatwa) pou itilize modèl Prime Infrastructure pou jenerasyon politik santralize. Yon karakteristik enpòtan se ke politik la fòme globalman atravè rezo a menm jan an - Yo pa sipòte règleman endividyèl pou segman endividyèl yo.
  • SD WAN – jesyon trafik ak bon jan kalite sèvis politik yo detèmine santralman atravè koòdone grafik Cisco vManage, aksesib tou atravè entènèt la (si sa nesesè). Yo distribye atravè chanèl siyal dirèkteman oswa endirèkteman atravè kontwolè vSmart (selon kalite politik la). Yo pa depann sou koneksyon done-avyon ant routeurs, paske sèvi ak tout chemen trafik ki disponib ant kontwolè a ak routeur la.

    Pou diferan segman rezo, li posib pou fòmile politik diferan - dimansyon politik la detèmine pa anpil idantifyan inik yo bay nan solisyon an - nimewo branch, kalite aplikasyon, direksyon trafik, elatriye.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Òkestrasyon-avyon – mekanis ki pèmèt eleman yo detekte dinamik youn ak lòt, konfigirasyon ak kowòdone entèraksyon ki vin apre yo.

  • в DMVPN/PfR Dekouvèt mityèl ant routeurs baze sou konfigirasyon estatik nan aparèy Hub ak konfigirasyon ki koresponn lan nan aparèy Spoke. Dekouvèt dinamik fèt sèlman pou Spoke, ki rapòte paramèt koneksyon Hub li yo nan aparèy la, ki an vire se pre-konfigirasyon ak Spoke. San koneksyon IP ant Spoke ak omwen yon Hub, li enposib pou fòme swa yon avyon done oswa yon avyon kontwòl.
  • в SD WAN orchestrasyon konpozan solisyon yo fèt lè l sèvi avèk kontwolè vBond, ak ki chak eleman (routeurs ak kontwolè vManage/vSmart) dwe premye etabli koneksyon IP.

    Okòmansman, eleman yo pa konnen sou paramèt koneksyon youn ak lòt - pou sa yo bezwen vBond entèmedyè orchestrator la. Prensip jeneral la se jan sa a - chak eleman nan faz inisyal la aprann (otomatikman oswa estatik) sèlman sou paramèt koneksyon yo ak vBond, Lè sa a, vBond enfòme routeur la sou vManage ak vSmart contrôleur yo (dekouvwi pi bonè), ki fè li posib otomatikman etabli. tout koneksyon siyal ki nesesè yo.

    Pwochen etap la se pou nouvo routeur la aprann sou lòt routeurs sou rezo a atravè kominikasyon OMP ak kontwolè vSmart la. Kidonk, routeur la, san yo pa okòmansman konnen anyen sou paramèt rezo yo, se kapab konplètman otomatikman detekte ak konekte ak contrôleur ak Lè sa a tou otomatikman detekte ak fòme koneksyon ak lòt routeurs. Nan ka sa a, paramèt koneksyon tout eleman yo okòmansman enkoni epi yo ka chanje pandan operasyon an.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Jesyon-avyon - yon pati nan solisyon an ki bay jesyon santralize ak siveyans.

  • DMVPN/PfR – pa gen okenn solisyon espesyalize jesyon avyon yo bay. Pou automatisation debaz ak siveyans, pwodwi tankou Cisco Prime Infrastructure ka itilize. Chak routeur gen kapasite pou yo kontwole atravè liy lòd CLI a. Entegrasyon ak sistèm ekstèn atravè API pa bay.
  • SD WAN – tout entèraksyon regilye ak siveyans fèt santralman atravè koòdone grafik kontwolè vManage la. Tout karakteristik solisyon an, san okenn eksepsyon, disponib pou konfigirasyon atravè vManage, osi byen ke atravè yon bibliyotèk REST API konplètman dokimante.

    Tout paramèt rezo SD-WAN nan vManage se de konstri prensipal - fòmasyon modèl aparèy (Modèl Aparèy) ak fòmasyon yon politik ki detèmine lojik operasyon rezo ak pwosesis trafik. An menm tan an, vManage, difize politik ki te pwodwi pa administratè a, otomatikman chwazi ki chanjman ak sou ki aparèy endividyèl / kontwolè yo bezwen fè, ki ogmante siyifikativman efikasite ak évolutivité nan solisyon an.

    Atravè koòdone nan vManage, se pa sèlman konfigirasyon solisyon Cisco SD-WAN ki disponib, men tou siveyans konplè sou estati a nan tout eleman nan solisyon an, jiska eta aktyèl la nan metrik pou tinèl endividyèl ak estatistik sou itilizasyon aplikasyon divès kalite. baze sou analiz DPI.

    Malgre santralizasyon entèraksyon, tout konpozan (kontwolè ak routeurs) gen tou yon liy lòd CLI konplètman fonksyonèl, ki nesesè nan etap aplikasyon an oswa nan ka ta gen yon ijans pou dyagnostik lokal yo. Nan mòd nòmal (si gen yon kanal siyal ant konpozan) sou routeurs, liy lòd la disponib sèlman pou dyagnostik epi li pa disponib pou fè chanjman lokal yo, ki garanti sekirite lokal yo ak sous la sèlman nan chanjman nan yon rezo konsa se vManage.

Sekirite entegre - isit la nou ta dwe pale pa sèlman sou pwoteksyon an nan done itilizatè lè transmèt sou chanèl louvri, men tou, sou sekirite an jeneral nan rezo WAN ki baze sou teknoloji a chwazi.

  • в DMVPN/PfR Li posib pou ankripte done itilizatè yo ak pwotokòl siyal yo. Lè w ap itilize sèten modèl routeur, fonksyon firewall ak enspeksyon trafik, IPS/IDS yo disponib anplis. Li posib pou segman rezo branch yo lè l sèvi avèk VRF. Li posib pou otantifye (yon sèl faktè) pwotokòl kontwòl.

    Nan ka sa a, routeur aleka konsidere kòm yon eleman ou fè konfyans nan rezo a pa default - i.e. ka konpwomi fizik nan aparèy endividyèl ak posibilite pou aksè san otorizasyon yo pa sipoze oswa pran an kont pa gen okenn otantifikasyon de faktè nan eleman solisyon, ki nan ka a nan yon rezo distribiye jeyografik ka pote gwo risk adisyonèl.

  • в SD WAN pa analoji ak DMVPN, yo bay kapasite pou ankripte done itilizatè yo, men ak sekirite rezo siyifikativman elaji ak fonksyon segmantasyon L3/VRF (pare-feu, IPS/IDS, filtraj URL, filtraj DNS, AMP/TG, SASE, proxy TLS/SSL, elatriye) d.). An menm tan an, echanj kle chifreman yo fèt pi efikasman atravè kontwolè vSmart (olye ke dirèkteman), atravè chanèl siyal pre-etabli ki pwoteje pa chifreman DTLS/TLS ki baze sou sètifika sekirite. Ki an vire garanti sekirite echanj sa yo ak asire pi bon évolutivité nan solisyon an jiska dè dizèn de milye aparèy sou menm rezo a.

    Tout koneksyon siyal (kontwolè-a-kontwolè, kontwolè-routeur) yo tou pwoteje ki baze sou DTLS/TLS. Routeurs yo ekipe ak sètifika sekirite pandan pwodiksyon ak posiblite pou ranplasman/ekstansyon. Otantifikasyon de faktè reyalize atravè akonplisman obligatwa ak similtane de kondisyon pou routeur/kontwolè a fonksyone nan yon rezo SD-WAN:

    • Sètifika sekirite valab
    • Enklizyon eksplisit ak konsyan pa administratè a nan chak eleman nan lis la "blan" nan aparèy pèmèt.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Diferans fonksyonèl ant SD-WAN ak DMVPN/PfR

Deplase sou yon diskisyon sou diferans fonksyonèl, li ta dwe remake ke anpil nan yo se yon kontinyasyon nan achitekti yo - se pa yon sekrè ke lè fòme achitekti a nan yon solisyon, devlopè kòmanse soti nan kapasite yo ke yo vle jwenn nan fen an. . Ann gade nan diferans ki pi enpòtan ant de teknoloji yo.

AppQ (Aplikasyon Kalite) - fonksyon pou asire bon jan kalite transmisyon trafik aplikasyon biznis

Fonksyon kle nan teknoloji yo anba konsiderasyon yo vize a amelyore eksperyans itilizatè a otank posib lè w ap itilize aplikasyon ki enpòtan pou biznis nan yon rezo distribiye. Sa a se espesyalman enpòtan nan kondisyon kote yon pati nan enfrastrikti a pa kontwole pa IT oswa pa menm garanti transfè done siksè.

DMVPN pa li menm bay mekanis sa yo. Pi bon an ki ka fè nan yon rezo DMVPN klasik se klasifye trafik sortan pa aplikasyon ak priyorite lè transmèt nan direksyon chanèl WAN. Chwa a nan yon tinèl DMVPN detèmine nan ka sa a sèlman pa disponiblite li yo ak rezilta a nan operasyon an nan pwotokòl routage. An menm tan an, eta bout-a-fen nan chemen an / tinèl la ak degradasyon posib pasyèl li yo pa pran an kont an tèm de mezi kle ki enpòtan pou aplikasyon rezo - reta, varyasyon reta (jitter) ak pèt (% ). Nan sans sa a, dirèkteman konpare DMVPN klasik ak SD-WAN an tèm de rezoud pwoblèm AppQ pèdi tout siyifikasyon - DMVPN pa ka rezoud pwoblèm sa a. Lè ou ajoute teknoloji Cisco Performance Routing (PfR) nan kontèks sa a, sitiyasyon an chanje epi konparezon an ak Cisco SD-WAN vin pi siyifikatif.

Anvan nou diskite sou diferans ki genyen, isit la nan yon gade rapid nan ki jan teknoloji yo sanble. Se konsa, tou de teknoloji:

  • gen yon mekanis ki pèmèt ou evalye dinamikman eta a nan chak tinèl etabli an tèm de mezi sèten - nan yon minimòm, reta, varyasyon reta ak pèt pake (%)
  • sèvi ak yon seri zouti espesifik pou fòme, distribye ak aplike règ jesyon trafik (politik), pran an kont rezilta yo nan mezire eta a nan mezi tinèl kle.
  • klasifye trafik aplikasyon nan nivo L3-L4 (DSCP) nan modèl OSI a oswa pa siyati aplikasyon L7 ki baze sou mekanis DPI ki bati nan routeur la.
  • Pou aplikasyon enpòtan, yo pèmèt ou detèmine valè papòt akseptab nan mezi, règ pou transmèt trafik pa default, ak règ pou reroute trafik lè valè papòt yo depase.
  • Lè yo ankapsile trafik nan GRE/IPSec, yo sèvi ak mekanis endistri ki deja etabli pou transfere mak entèn DSCP nan ekstèn pakè GRE/IPSEC, ki pèmèt senkronize politik QoS òganizasyon an ak operatè telecom (si gen yon SLA apwopriye) .

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Ki jan SD-WAN ak DMVPN/PfR mezi fen-a-fen diferan?

DMVPN/PfR

  • Tou de detèktè lojisyèl aktif ak pasif (sond) yo itilize pou evalye mezi estanda sante tinèl. Moun ki aktif yo baze sou trafik itilizatè yo, moun ki pasif yo imite trafik sa yo (nan absans li).
  • Pa gen okenn ajisteman amann nan revèy ak kondisyon deteksyon degradasyon - algorithm la fiks.
  • Anplis de sa, mezi bandwidth itilize nan direksyon sòtan an disponib. Ki ajoute plis fleksibilite nan jesyon trafik nan DMVPN/PfR.
  • An menm tan an, kèk mekanis PfR, lè mezi yo depase, konte sou siyal fidbak nan fòm mesaj espesyal TCA (Threshold Crossing Alert) ki dwe soti nan benefisyè trafik la nan direksyon sous la, ki an vire sipoze ke eta a nan la. chanèl mezire yo ta dwe omwen ase pou transmisyon mesaj TCA sa yo. Ki nan pifò ka yo se pa yon pwoblèm, men evidamman pa ka garanti.

SD WAN

  • Pou evalyasyon fen-a-fen nan metrik eta tinèl estanda, yo itilize pwotokòl BFD nan mòd eko. Nan ka sa a, fidbak espesyal nan fòm TCA oswa mesaj menm jan an pa obligatwa - izolasyon domèn echèk yo konsève. Li pa egzije tou prezans trafik itilizatè pou evalye eta tinèl la.
  • Li posib pou ajiste BFD timers pou kontwole vitès repons lan ak sansiblite algorithm nan degradasyon chanèl kominikasyon an soti nan plizyè segonn jiska minit.

    Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

  • Nan moman sa a ekri a, gen yon sèl sesyon BFD nan chak tinèl. Sa a potansyèlman kreye mwens granularite nan analiz eta tinèl. An reyalite, sa a ka sèlman vin yon limit si ou itilize yon koneksyon WAN ki baze sou MPLS L2/L3 VPN ak yon SLA QoS dakò - si make DSCP trafik BFD (apre enkapsulasyon nan IPSec/GRE) matche ak keu priyorite segondè nan. rezo operatè telecom a, Lè sa a, sa a ka afekte presizyon ak vitès deteksyon degradasyon pou trafik priyorite ki ba. An menm tan an, li posib pou chanje etikèt BFD default la pou diminye risk sitiyasyon sa yo. Nan pwochen vèsyon lojisyèl Cisco SD-WAN, yo atann de plis anviwònman BFD amann, ansanm ak kapasite pou lanse plizyè sesyon BFD nan menm tinèl la ak valè DSCP endividyèl (pou aplikasyon diferan).
  • BFD Anplis de sa pèmèt ou estime gwosè pake maksimòm ki ka transmèt nan yon tinèl patikilye san fwagmantasyon. Sa a pèmèt SD-WAN ajiste dinamik paramèt tankou MTU ak TCP MSS Ajiste pou fè plis nan Pleasant ki disponib sou chak lyen.
  • Nan SD-WAN, opsyon nan senkronizasyon QoS soti nan operatè telecom disponib tou, pa sèlman ki baze sou jaden L3 DSCP, men tou ki baze sou valè L2 CoS, ki ka otomatikman pwodwi nan rezo a branch pa aparèy espesyalize - pou egzanp, IP. telefòn yo

Ki jan kapasite yo, metòd pou defini ak aplike règleman AppQ yo diferan?

Règ DMVPN/PfR:

  • Defini sou routeur santral branch (yo) atravè liy kòmand CLI oswa modèl konfigirasyon CLI. Jenere modèl CLI mande pou preparasyon ak konesans nan sentaks politik.

    Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

  • Defini globalman san posiblite pou konfigirasyon endividyèl / chanjman nan kondisyon yo nan segman rezo endividyèl yo.
  • Yo pa bay jenerasyon politik entèaktif nan koòdone grafik la.
  • Yo pa bay swivi chanjman yo, eritaj, ak kreye plizyè vèsyon politik pou chanje rapid.
  • Distribiye otomatikman nan routeurs nan branch aleka. Nan ka sa a, yo itilize menm chanèl kominikasyon yo pou transmèt done itilizatè yo. Si pa gen okenn kanal kominikasyon ant branch santral ak aleka, distribisyon/chanjman politik yo enposib.
  • Yo itilize yo sou chak routeur epi, si sa nesesè, modifye rezilta a nan pwotokòl routage estanda, ki gen yon pi gwo priyorite.
  • Pou ka kote tout lyen WAN branch yo fè eksperyans pèt trafik enpòtan, pa gen mekanis konpansasyon bay.

Règ SD-WAN:

  • Defini nan entèfas vManage atravè sòsye modèl entèaktif la.
  • Sipòte kreye plizyè politik, kopye, eritye, chanje ant politik an tan reyèl.
  • Sipòte anviwònman politik endividyèl pou diferan segman rezo (branch)
  • Yo distribye lè l sèvi avèk nenpòt chanèl siyal ki disponib ant kontwolè a ak routeur la ak / oswa vSmart - pa dirèkteman depann sou koneksyon an done-avyon ant routeurs yo. Sa a, nan kou, mande pou koneksyon IP ant routeur nan tèt li ak contrôleur yo.

    Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

  • Pou ka kote tout branch ki disponib nan yon branch fè eksperyans pèt done enpòtan ki depase papòt akseptab pou aplikasyon kritik, li posib pou itilize mekanis adisyonèl ki ogmante fyab transmisyon:
    • FEC (Koreksyon Erè Forward) – sèvi ak yon algorithm espesyal kodaj redondants. Lè w ap transmèt trafik kritik sou chanèl ak yon pousantaj enpòtan nan pèt, FEC ka otomatikman aktive epi pèmèt, si sa nesesè, retabli pati ki pèdi nan done yo. Sa a yon ti kras ogmante Pleasant transmisyon itilize a, men siyifikativman amelyore fyab.

      Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

    • Duplication de flux done – anplis de FEC, politik la ka bay pou kopi otomatik nan trafik aplikasyon yo chwazi nan evènman an nan yon nivo pi grav nan pèt ki pa ka konpanse pa FEC. Nan ka sa a, done yo chwazi yo pral transmèt nan tout tinèl nan direksyon pou branch k ap resevwa a ak de-duplication ki vin apre (depoze kopi siplemantè nan pake). Mekanis la siyifikativman ogmante itilizasyon chanèl, men tou, siyifikativman ogmante fyab transmisyon.

Kapasite Cisco SD-WAN, san analòg dirèk nan DMVPN/PfR

Achitekti solisyon Cisco SD-WAN a nan kèk ka pèmèt ou jwenn kapasite ki swa trè difisil pou aplike nan DMVPN/PfR, oswa ki enposib akòz depans travay ki nesesè yo, oswa ki konplètman enposib. Ann gade nan ki pi enteresan nan yo:

Trafik-Enjenieri (TE)

TE gen ladann mekanis ki pèmèt trafik branch sou chemen estanda ki fòme pa pwotokòl routage. Yo souvan itilize TE pou asire gwo disponiblite sèvis rezo yo, atravè kapasite pou transfere rapid ak/oswa pwoaktif trafik kritik nan yon chemen transmisyon altènatif (disjoint), pou asire pi bon kalite sèvis oswa vitès rekiperasyon an ka ta gen echèk. sou chemen prensipal la.

Difikilte pou aplike TE se nan bezwen pou kalkile ak rezève (tcheke) yon chemen altènatif davans. Nan rezo MPLS operatè telecom, pwoblèm sa a rezoud lè l sèvi avèk teknoloji tankou MPLS Traffic-Engineering ak ekstansyon pwotokòl IGP ak pwotokòl RSVP. Epitou dènyèman, teknoloji Segment Routing, ki se plis optimize pou konfigirasyon santralize ak òkestrasyon, te vin de pli zan pli popilè. Nan rezo WAN klasik, teknoloji sa yo anjeneral pa reprezante oswa yo redwi a itilizasyon mekanis hop-pa-hop tankou Policy-Based Routing (PBR), ki kapab branche trafik, men aplike sa a sou chak routeur separeman - san yo pa pran. an kont eta an jeneral nan rezo a oswa rezilta PBR nan etap anvan oswa apre yo. Rezilta a nan itilize opsyon TE sa yo se enèvan - MPLS TE, akòz konpleksite nan konfigirasyon ak operasyon, yo itilize, kòm yon règ, sèlman nan pati ki pi kritik nan rezo a (nwayo), ak PBR yo itilize sou routeurs endividyèl san yo pa. kapasite pou kreye yon politik PBR inifye pou tout rezo a. Li evidan, sa a aplike tou pou rezo ki baze sou DMVPN.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

SD-WAN nan sans sa a ofri yon solisyon pi plis elegant ki pa sèlman fasil pou konfigirasyon, men tou echèl pi byen. Sa a se yon rezilta achitekti plan kontwòl ak plan politik yo itilize. Aplike yon plan politik nan SD-WAN pèmèt ou defini santralman politik TE - ki trafik ki enterese? pou ki VPN? Atravè ki nœuds/tinèl li nesesè oswa, okontrè, entèdi pou fòme yon wout altènatif? Nan vire, santralizasyon an nan jesyon avyon kontwòl ki baze sou kontwolè vSmart pèmèt ou modifye rezilta routage san yo pa itilize anviwònman yo nan aparèy endividyèl - routeurs deja wè sèlman rezilta a nan lojik la ki te pwodwi nan koòdone nan vManage ak transfere pou itilize yo. vSmart.

Sèvis-chènman

Fòme chèn sèvis se yon travay ki pi entansif nan routage klasik pase mekanis Traffic-Engineering ki deja dekri a. Vreman vre, nan ka sa a, li nesesè pa sèlman yo kreye yon wout espesyal pou yon aplikasyon rezo espesifik, men tou, asire kapasite nan retire trafik nan rezo a sou sèten (oswa tout) nœuds nan rezo a SD-WAN pou trete pa. yon aplikasyon espesyal oswa sèvis (Firewall, Balans, Caching, Enspeksyon trafik, elatriye). An menm tan, li nesesè pou kapab kontwole eta sèvis ekstèn sa yo pou anpeche sitiyasyon black-holing, ak mekanis yo bezwen tou ki pèmèt sèvis ekstèn sa yo nan menm kalite yo dwe mete nan diferan geo-lokal. ak kapasite nan rezo a otomatikman chwazi ne ki pi pi bon sèvis pou trete trafik la nan yon branch patikilye. Nan ka Cisco SD-WAN, sa a se byen fasil reyalize lè yo kreye yon politik santralize ki apwopriye ki "kole" tout aspè nan chèn sèvis sib la nan yon sèl antye epi otomatikman chanje lojik done-avyon ak kontwòl-avyon sèlman kote. ak lè sa nesesè.

Èske Cisco SD-WAN koupe branch kote DMVPN chita a?

Kapasite nan kreye pwosesis geo-distribiye nan trafik nan chwazi kalite aplikasyon nan yon sekans sèten sou ekipman espesyalize (men se pa ki gen rapò ak rezo a SD-WAN tèt li) se petèt demonstrasyon ki pi klè nan avantaj ki genyen nan Cisco SD-WAN sou klasik. teknoloji ak menm kèk solisyon SD altènatif -WAN soti nan lòt manifaktirè yo.

Rezilta a?

Li evidan, tou de DMVPN (avèk oswa san pèfòmans routage) ak Cisco SD-WAN fini rezoud pwoblèm ki sanble anpil an relasyon ak rezo WAN distribye òganizasyon an. An menm tan an, diferans enpòtan achitekti ak fonksyonèl nan teknoloji Cisco SD-WAN mennen nan pwosesis pou rezoud pwoblèm sa yo. nan yon lòt nivo kalite. Pou rezime, nou ka sonje diferans enpòtan sa yo ant SD-WAN ak teknoloji DMVPN/PfR:

  • DMVPN/PfR an jeneral sèvi ak teknoloji tan-teste pou bati rezo VPN kouvri ak, an tèm de done-avyon, yo sanble ak plis modèn SD-WAN teknoloji, sepandan, gen yon kantite limit nan fòm lan nan yon konfigirasyon estatik obligatwa. nan routeurs ak chwa nan topoloji limite a Hub-n-Spoke. Nan lòt men an, DMVPN/PfR gen kèk fonksyonalite ki poko disponib nan SD-WAN (n ap pale de BFD pou chak aplikasyon).
  • Nan plan kontwòl la, teknoloji diferan fondamantalman. Lè w ap pran an kont pwosesis santralize pwotokòl siyal yo, SD-WAN pèmèt, an patikilye, siyifikativman etwat domèn echèk ak "dekouple" pwosesis la nan transmèt trafik itilizatè soti nan entèraksyon siyal - indisponibilite tanporè nan kontwolè pa afekte kapasite nan transmèt trafik itilizatè. . An menm tan an, indisponibilite pou yon ti tan nan nenpòt branch (ki gen ladan youn santral la) pa nan okenn fason afekte kapasite nan lòt branch yo kominike youn ak lòt ak kontwolè.
  • Achitekti pou fòmasyon ak aplikasyon politik jesyon trafik nan ka SD-WAN se siperyè tou pase sa ki nan DMVPN/PfR - geo-rezèvasyon se pi byen aplike, pa gen okenn koneksyon ak Hub la, gen plis opòtinite pou amann. -regleman politik, lis la nan senaryo jesyon trafik aplike se tou pi gwo.
  • Pwosesis orchestration solisyon an tou siyifikativman diferan. DMVPN sipoze prezans nan paramèt li te ye deja ki dwe yon jan kanmenm reflete nan konfigirasyon an, ki yon ti jan limite fleksibilite nan solisyon an ak posibilite pou chanjman dinamik. Nan vire, SD-WAN baze sou paradigm ki nan moman inisyal la nan koneksyon, routeur la "pa konnen anyen" sou kontwolè li yo, men li konnen "ki moun ou ka mande" - sa a se ase pa sèlman otomatikman etabli kominikasyon ak contrôleur yo, men tou, otomatikman fòme yon topoloji done-avyon konplètman konekte, ki ka Lè sa a, dwe fleksib konfigirasyon / chanje lè l sèvi avèk règleman yo.
  • An tèm de jesyon santralize, automatisation ak siveyans, SD-WAN espere depase kapasite DMVPN/PfR, ki te evolye soti nan teknoloji klasik ak konte plis anpil sou liy kòmand CLI a ak itilizasyon sistèm NMS ki baze sou modèl.
  • Nan SD-WAN, konpare ak DMVPN, kondisyon sekirite yo te rive nan yon nivo kalitatif diferan. Prensip prensipal yo se zewo konfyans, évolutivité ak de-faktè otantifikasyon.

Konklizyon senp sa yo ka bay move enpresyon ke kreye yon rezo ki baze sou DMVPN/PfR te pèdi tout enpòtans jodi a. Sa a se nan kou pa totalman vre. Pou egzanp, nan ka kote rezo a sèvi ak yon anpil nan ekipman demode epi pa gen okenn fason yo ranplase li, DMVPN ka pèmèt ou konbine "ansyen" ak "nouvo" aparèy nan yon sèl rezo geo-distribiye ak anpil nan avantaj ki dekri. pi wo a.

Nan lòt men an, li ta dwe sonje ke tout aktyèl Cisco routeurs antrepriz ki baze sou IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) jodi a sipòte nenpòt mòd opere - tou de routage klasik ak DMVPN ak SD-WAN - chwa a detèmine pa bezwen aktyèl yo ak konpreyansyon ke a nenpòt ki moman, lè l sèvi avèk menm ekipman an, ou ka kòmanse pou avanse pou pi nan teknoloji pi avanse.

Sous: www.habr.com

Add nouvo kòmantè