ProHoster > Blog > Adminisztráció > A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

2017 augusztusa óta, amikor a Cisco felvásárolta a Viptelát, az elosztott vállalati hálózatok szervezésére kínált fő technológia lett. Cisco SD-WAN. Az elmúlt 3 év során az SD-WAN technológia számos változáson ment keresztül, mind minőségi, mind mennyiségi szempontból. Így a funkcionalitás jelentősen bővült, és a támogatás megjelent a sorozat klasszikus routerein Cisco ISR 1000, ISR 4000, ASR 1000 és Virtual CSR 1000v. Ugyanakkor sok Cisco-ügyfél és partner továbbra is kíváncsi: mi a különbség a Cisco SD-WAN és a már megszokott megközelítések között, amelyek olyan technológiákon alapulnak, mint pl Cisco DMVPN и Cisco Performance Routing és mennyire fontosak ezek a különbségek?

Itt azonnal meg kell jegyeznünk, hogy az SD-WAN megjelenése előtt a Cisco portfóliójában a DMVPN a PfR-rel együtt kulcsfontosságú szerepet játszott az architektúrában. Cisco IWAN (intelligens WAN), amely viszont a teljes értékű SD-WAN technológia elődje volt. A megoldandó feladatok és a megoldási módszerek általános hasonlósága ellenére az IWAN soha nem kapta meg az SD-WAN-hoz szükséges automatizálási, rugalmassági és skálázhatósági szintet, és az idő múlásával az IWAN fejlődése jelentősen visszaesett. Ugyanakkor az IWAN-t alkotó technológiák nem tűntek el, és sok ügyfél továbbra is sikeresen használja őket, beleértve a modern berendezéseket is. Ennek eredményeként érdekes helyzet állt elő - ugyanaz a Cisco berendezés lehetővé teszi a legmegfelelőbb WAN technológia (klasszikus, DMVPN+PfR vagy SD-WAN) kiválasztását az ügyfelek igényeinek és elvárásainak megfelelően.

A cikk nem kívánja részletesen elemezni a Cisco SD-WAN és DMVPN technológiák összes funkcióját (Performance Routing-el vagy anélkül) - ehhez hatalmas mennyiségű dokumentum és anyag áll rendelkezésre. A fő feladat az, hogy megpróbáljuk felmérni a legfontosabb különbségeket e technológiák között. Mielőtt azonban rátérnénk e különbségek tárgyalására, röviden idézzük fel magukat a technológiákat.

Mi az a Cisco DMVPN, és miért van rá szükség?

A Cisco DMVPN megoldja a távoli fiókhálózat dinamikus (= méretezhető) csatlakozásának problémáját a vállalat központi irodájának hálózatához tetszőleges típusú kommunikációs csatornák használata esetén, beleértve az internetet is (= a kommunikációs csatorna titkosításával). Technikailag ez egy L3 VPN osztályú virtualizált overlay hálózat létrehozásával valósul meg pont-többpont módban, „Star” típusú logikai topológiával (Hub-n-Spoke). Ennek eléréséhez a DMVPN a következő technológiák kombinációját használja:

  • IP-útválasztás
  • Többpontos GRE alagutak (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto profilok

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Melyek a Cisco DMVPN fő előnyei az MPLS VPN csatornákat használó klasszikus útválasztáshoz képest?

  • A fiókközi hálózat kialakításához bármilyen kommunikációs csatorna használható - minden, ami IP-kapcsolatot tud biztosítani a fióktelepek között, megfelelő, miközben a forgalom titkosított (ahol szükséges) és kiegyensúlyozott (ahol lehetséges)
  • Az ágak között automatikusan létrejön egy teljesen összekapcsolt topológia. Ugyanakkor statikus alagutak vannak a központi és távoli ágak között, és igény szerint dinamikus alagutak a távoli ágak között (ha van forgalom)
  • A központi és távoli ág routerei az interfészek IP-címéig azonos konfigurációval rendelkeznek. Az mGRE használatával nincs szükség több tíz, száz vagy akár több ezer alagutak egyéni konfigurálására. Ennek eredményeként tisztességes méretezhetőség a megfelelő kialakítással.

Mi az a Cisco Performance Routing, és miért van rá szükség?

Ha a DMVPN-t szakmaközi hálózaton használjuk, egy rendkívül fontos kérdés továbbra is megoldatlan marad: hogyan lehet dinamikusan felmérni az egyes DMVPN alagutak állapotát a szervezetünk számára kritikus forgalmi követelményeknek való megfelelés érdekében, és ismét egy ilyen értékelés alapján dinamikusan döntés az átirányításról? A tény az, hogy a DMVPN ebben a részben kevéssé különbözik a klasszikus útválasztástól – a legjobb, amit tehetünk, ha olyan QoS-mechanizmusokat konfigurálunk, amelyek lehetővé teszik a kimenő irányú forgalom priorizálását, de semmiképpen sem képesek figyelembe venni a forgalom állapotát. az egész utat egy időben.

És mi a teendő, ha a csatorna részben és nem teljesen leromlik - hogyan lehet ezt észlelni és értékelni? Maga a DMVPN ezt nem tudja megtenni. Tekintettel arra, hogy az ágakat összekötő csatornák teljesen különböző távközlési szolgáltatókon haladhatnak át, teljesen más technológiákat alkalmazva, ez a feladat rendkívül nem triviálissá válik. És itt jön a segítség a Cisco Performance Routing technológiája, amely addigra már több fejlesztési szakaszon ment keresztül.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

A Cisco Performance Routing (a továbbiakban PfR) feladata a forgalom útvonalainak (alagutak) állapotának mérése a hálózati alkalmazások számára fontos kulcsmutatók alapján - késleltetés, késleltetési eltérés (jitter) és csomagvesztés (százalék). Ezenkívül mérhető a használt sávszélesség. Ezek a mérések a valós időhöz a lehető legközelebb és indokoltan történnek, és a mérések eredménye lehetővé teszi a PfR-t használó router számára, hogy dinamikusan döntsön az adott vagy olyan típusú forgalom útválasztásának módosításáról.

Így a DMVPN/PfR kombináció feladata röviden a következőképpen írható le:

  • Engedélyezze az ügyfélnek a WAN hálózat bármely kommunikációs csatornájának használatát
  • Biztosítsa a kritikus alkalmazások lehető legmagasabb minőségét ezeken a csatornákon

Mi az a Cisco SD-WAN?

A Cisco SD-WAN egy olyan technológia, amely az SDN megközelítést használja a szervezet WAN-hálózatának létrehozására és működtetésére. Ez különösen az úgynevezett vezérlők (szoftverelemek) használatát jelenti, amelyek a megoldás összes komponensének központosított hangszerelését és automatizált konfigurálását biztosítják. A kanonikus SDN-nel (Clean Slate stílus) ellentétben a Cisco SD-WAN többféle vezérlőt használ, amelyek mindegyike a saját szerepét tölti be – ezt szándékosan tették a jobb méretezhetőség és georedundancia biztosítása érdekében.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Az SD-WAN esetében a tetszőleges csatornák használatának és az üzleti alkalmazások működésének biztosításának feladata változatlan marad, ugyanakkor bővülnek az ilyen hálózatok automatizálásával, skálázhatóságával, biztonságával és rugalmasságával kapcsolatos követelmények.

A különbségek megbeszélése

Ha most elkezdjük elemezni e technológiák közötti különbségeket, a következő kategóriák egyikébe sorolhatók be:

  • Építészeti különbségek – hogyan oszlanak meg a funkciók a megoldás különböző összetevői között, hogyan szerveződik az ilyen komponensek interakciója, és ez hogyan befolyásolja a technológia képességeit és rugalmasságát?
  • Funkcionalitás – mire képes az egyik technológia, amire egy másik nem? És tényleg olyan fontos?

Mik az építészeti különbségek és fontosak?

Ezen technológiák mindegyike számos „mozgó alkatrészt” tartalmaz, amelyek nemcsak szerepükben különböznek, hanem abban is, hogy hogyan hatnak egymásra. Az, hogy ezek az alapelvek mennyire vannak átgondolva, és a megoldás általános mechanikája közvetlenül meghatározza a méretezhetőséget, a hibatűrést és az általános hatékonyságot.

Nézzük meg részletesebben az építészet különböző aspektusait:

Adatsík – a megoldás része, amely felelős a felhasználói forgalom továbbításáért a forrás és a fogadó között. A DMVPN és az SD-WAN általában azonos módon valósul meg magukon az útválasztókon, többpontos GRE alagutak alapján. A különbség az, hogy ezekhez az alagutakhoz hogyan jön létre a szükséges paraméterkészlet:

  • в DMVPN/PfR a csomópontok kizárólag kétszintű hierarchiája Star vagy Hub-n-Spoke topológiával. A hub statikus konfigurációja és a Spoke statikus összekapcsolása a hubbal, valamint az NHRP protokollon keresztüli interakció szükséges az adatsík-kapcsolat kialakításához. Következésképpen, jelentősen megnehezítve a Hub módosításátkapcsolatos például új WAN csatornák megváltoztatásával/csatlakoztatásával vagy a meglévők paramétereinek megváltoztatásával.
  • в SD WAN egy teljesen dinamikus modell a telepített alagutak paramétereinek detektálására vezérlési síkon (OMP protokoll) és irányítási síkon (interakció a vBond vezérlővel a vezérlő észleléséhez és a NAT bejárási feladatokhoz) alapján. Ebben az esetben bármilyen szuperponált topológia használható, beleértve a hierarchikus topológiákat is. A kialakított overlay alagút topológián belül lehetséges a logikai topológia rugalmas konfigurálása minden egyes VPN-ben (VRF).

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Vezérlősík – az útválasztás és egyéb információk cseréjének, szűrésének és módosításának funkciói a megoldás komponensei között.

  • в DMVPN/PfR – csak a Hub és a Spoke routerek között hajtható végre. Az útválasztási információk közvetlen cseréje a küllők között nem lehetséges. Következésképpen, Működő Hub nélkül a vezérlősík és az adatsík nem működhet, amely további magas rendelkezésre állási követelményeket támaszt a Hub-mal szemben, amelyeket nem mindig lehet teljesíteni.
  • в SD WAN – a vezérlősík soha nem kerül végrehajtásra közvetlenül a routerek között – az interakció az OMP protokoll alapján történik, és szükségszerűen egy külön speciális vSmart vezérlőn keresztül valósul meg, amely lehetőséget biztosít a kiegyensúlyozásra, a földrajzi lefoglalásra és a központosított vezérlésre. jelterhelés. Az OMP protokoll másik jellemzője a veszteségekkel szembeni jelentős ellenállás és függetlensége a vezérlőkkel való kommunikációs csatorna sebességétől (természetesen ésszerű határokon belül). Ez egyformán sikeresen lehetővé teszi az SD-WAN vezérlők nyilvános vagy privát felhőkbe helyezését az interneten keresztül.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Politika-sík – az elosztott hálózaton a forgalomkezelési szabályzatok meghatározásáért, elosztásáért és alkalmazásáért felelős megoldás része.

  • DMVPN – hatékonyan korlátozzák az egyes útválasztókon a CLI vagy a Prime Infrastructure sablonokon keresztül egyedileg konfigurált szolgáltatásminőségi (QoS) házirendek.
  • DMVPN/PfR – A PfR-irányelvek a központi fővezérlő (MC) útválasztón jönnek létre a CLI-n keresztül, majd automatikusan elosztják az elágazó MC-k között. Ebben az esetben ugyanazok a házirend-átviteli útvonalak kerülnek felhasználásra, mint az adatsíkon. Nincs lehetőség a szabályzatok, az útválasztási információk és a felhasználói adatok cseréjének elkülönítésére. A szabályzat terjesztéséhez IP-kapcsolat szükséges a Hub és a Spoke között. Ebben az esetben az MC funkció szükség esetén kombinálható egy DMVPN routerrel. Lehetséges (de nem kötelező) Prime Infrastructure sablonok használata a központosított házirend-generáláshoz. Fontos jellemzője, hogy a politika globálisan, a hálózaton belül ugyanúgy alakul - Az egyes szegmensekre vonatkozó egyedi szabályzatok nem támogatottak.
  • SD WAN – a forgalomkezelés és a szolgáltatásminőségi szabályzatok központilag kerülnek meghatározásra a Cisco vManage grafikus felületén keresztül, amely (szükség esetén) az Interneten is elérhető. Jelzési csatornákon keresztül közvetlenül vagy közvetve, vSmart vezérlőkön keresztül kerülnek elosztásra (a szabályzat típusától függően). Nem függenek a routerek közötti adatsík-kapcsolattól, mert használja az összes elérhető közlekedési útvonalat a vezérlő és az útválasztó között.

    Különböző hálózati szegmensekre lehetőség van rugalmasan eltérő szabályzatok megfogalmazására - a házirend hatókörét számos, a megoldásban megadott egyedi azonosító határozza meg - fiókszám, alkalmazás típusa, forgalmi irány stb.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Hangszerelés-sík – olyan mechanizmusok, amelyek lehetővé teszik az összetevők számára, hogy dinamikusan észleljék egymást, konfigurálják és koordinálják a későbbi interakciókat.

  • в DMVPN/PfR Az útválasztók közötti kölcsönös felderítés a Hub eszközök statikus konfigurációján és a küllős eszközök megfelelő konfigurációján alapul. A dinamikus felderítés csak a Spoke esetében történik, amely jelenti a Hub-kapcsolat paramétereit az eszköznek, amely viszont előre be van konfigurálva a Spoke-kal. A Spoke és legalább egy Hub közötti IP-kapcsolat nélkül lehetetlen sem adatsíkot, sem vezérlősíkot kialakítani.
  • в SD WAN A megoldás összetevőinek összehangolása a vBond vezérlővel történik, amellyel minden összetevőnek (útválasztóknak és vManage/vSmart vezérlőknek) először IP-kapcsolatot kell létrehoznia.

    Kezdetben a komponensek nem tudnak egymás kapcsolati paramétereiről - ehhez szükségük van a vBond közvetítő hangszerre. Az általános elv a következő - minden komponens a kezdeti fázisban csak a vBondhoz való kapcsolódási paramétereket tanulja meg (automatikusan vagy statikusan), majd a vBond tájékoztatja a routert a vManage és vSmart vezérlőkről (korábban találtuk), ami lehetővé teszi az automatikus létrehozást. minden szükséges jelzőcsatlakozás.

    A következő lépés az, hogy az új útválasztó megismerje a hálózat többi útválasztóját a vSmart vezérlővel folytatott OMP kommunikáción keresztül. Így a router anélkül, hogy kezdetben bármit is tudna a hálózati paraméterekről, képes teljesen automatikusan felismerni és kapcsolódni a vezérlőkhöz, majd automatikusan felismeri és kialakítani a kapcsolatot más routerekkel. Ebben az esetben az összes komponens csatlakozási paraméterei kezdetben ismeretlenek, és működés közben változhatnak.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Menedzsment sík – a központosított felügyeletet és felügyeletet biztosító megoldás része.

  • DMVPN/PfR – nincs speciális irányítási sík megoldás. Az alapvető automatizáláshoz és felügyelethez olyan termékek használhatók, mint a Cisco Prime Infrastructure. Mindegyik útválasztó a CLI parancssoron keresztül vezérelhető. A külső rendszerekkel API-n keresztüli integráció nem biztosított.
  • SD WAN – minden rendszeres interakció és felügyelet központilag történik a vManage vezérlő grafikus felületén keresztül. A megoldás összes funkciója kivétel nélkül a vManage-en keresztül, valamint egy teljesen dokumentált REST API-könyvtáron keresztül konfigurálható.

    A vManage összes SD-WAN hálózati beállítása két fő konstrukcióból áll - az eszközsablonok kialakításából (Device Template) és egy olyan házirend kialakításából, amely meghatározza a hálózati működés és a forgalomfeldolgozás logikáját. A vManage ugyanakkor az adminisztrátor által generált házirendet sugározva automatikusan kiválasztja, hogy mely változtatásokat, és mely egyedi eszközökön/vezérlőkön kell végrehajtani, ami jelentősen növeli a megoldás hatékonyságát és skálázhatóságát.

    A vManage interfészen keresztül nemcsak a Cisco SD-WAN megoldás konfigurálása érhető el, hanem a megoldás összes összetevőjének állapotának teljes felügyelete is, egészen az egyes alagutak mérőszámainak aktuális állapotáig és a különféle alkalmazások használatára vonatkozó statisztikákig. DPI elemzés alapján.

    Az interakció központosítása ellenére minden komponens (vezérlők és útválasztók) rendelkezik egy teljesen működőképes CLI parancssorral is, amely szükséges a megvalósítás szakaszában vagy vészhelyzet esetén a helyi diagnosztikához. Normál módban (ha van jelzőcsatorna a komponensek között) az útválasztókon a parancssor csak diagnosztikára használható, helyi változtatások végrehajtására nem, ami a helyi biztonságot garantálja és egy ilyen hálózatban a változtatások egyetlen forrása a vManage.

Integrált biztonság – itt nem csak a nyílt csatornákon továbbított felhasználói adatok védelméről kell beszélni, hanem a WAN hálózat általános biztonságáról is a kiválasztott technológia alapján.

  • в DMVPN/PfR Lehetőség van felhasználói adatok és jelzési protokollok titkosítására. Egyes router-modellek használatakor a tűzfal funkciók forgalmi ellenőrzéssel, valamint az IPS/IDS is elérhetők. Lehetőség van a fiókhálózatok szegmentálására VRF segítségével. Lehetőség van az (egytényezős) vezérlési protokollok hitelesítésére.

    Ebben az esetben a távoli útválasztó alapértelmezés szerint a hálózat megbízható elemének számít - pl. az egyes eszközök fizikai kompromittálásának és az azokhoz való jogosulatlan hozzáférésnek az eseteit nem feltételezik és nem veszik figyelembe, a megoldás összetevőinél nincs kéttényezős hitelesítés, ami földrajzilag elosztott hálózat esetén jelentős további kockázatokat hordozhat.

  • в SD WAN a DMVPN-hez hasonlóan a felhasználói adatok titkosítása is biztosított, de jelentősen kibővített hálózati biztonsággal és L3/VRF szegmentációs funkciókkal (tűzfal, IPS/IDS, URL szűrés, DNS szűrés, AMP/TG, SASE, TLS/SSL proxy, stb.) d.). Ugyanakkor a titkosítási kulcsok cseréje hatékonyabban történik vSmart vezérlőkön keresztül (nem pedig közvetlenül), előre kialakított, biztonsági tanúsítványokon alapuló DTLS/TLS titkosítással védett jelzőcsatornákon keresztül. Ami viszont garantálja az ilyen cserék biztonságát, és biztosítja a megoldás jobb skálázhatóságát akár több tízezer eszközhöz is ugyanazon a hálózaton.

    Minden jelzési kapcsolat (vezérlő-vezérlő, vezérlő-router) szintén védett DTLS/TLS alapján. A routereket a gyártás során biztonsági tanúsítványokkal látják el, csere/bővítés lehetőségével. A kéttényezős hitelesítés az útválasztó/vezérlő SD-WAN hálózatban való működéséhez szükséges két feltétel kötelező és egyidejű teljesítésével érhető el:

    • Érvényes biztonsági tanúsítvány
    • Az egyes komponensek adminisztrátor kifejezett és tudatos felvétele az engedélyezett eszközök „fehér” listájára.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Funkcionális különbségek az SD-WAN és a DMVPN/PfR között

Továbblépve a funkcionális különbségek tárgyalására, meg kell jegyezni, hogy ezek közül sok az építészeti megoldások folytatása - nem titok, hogy a megoldás architektúrájának kialakításakor a fejlesztők azokból a képességekből indulnak ki, amelyeket végül megszerezni szeretnének. Nézzük meg a két technológia közötti legjelentősebb különbségeket.

AppQ (Application Quality) – az üzleti alkalmazások forgalmának minőségi továbbítását biztosító funkciók

A vizsgált technológiák kulcsfontosságú funkciói arra irányulnak, hogy a lehető legnagyobb mértékben javítsák a felhasználói élményt az üzletileg kritikus alkalmazások elosztott hálózatban történő használatakor. Ez különösen fontos olyan körülmények között, amikor az infrastruktúra egy részét nem informatikai vezérli, vagy nem is garantálja a sikeres adatátvitelt.

A DMVPN maga nem biztosít ilyen mechanizmusokat. A legjobb, amit egy klasszikus DMVPN hálózatban tehetünk, az, hogy a kimenő forgalmat alkalmazások szerint osztályozzuk, és a WAN csatorna felé történő továbbításkor prioritást állítunk be. A DMVPN alagút kiválasztását ebben az esetben csak annak elérhetősége és az útválasztási protokollok működésének eredménye határozza meg. Ugyanakkor az útvonal/alagút végpontok közötti állapotát és esetleges részleges leromlását nem veszik figyelembe a hálózati alkalmazások szempontjából jelentős kulcsmutatók – késleltetés, késleltetési ingadozás (jitter) és veszteségek (% ). Ebben a tekintetben a klasszikus DMVPN és az SD-WAN közvetlen összehasonlítása az AppQ-problémák megoldása szempontjából minden értelmét veszti - a DMVPN nem tudja megoldani ezt a problémát. Ha ehhez a kontextushoz hozzáadja a Cisco Performance Routing (PfR) technológiát, a helyzet megváltozik, és a Cisco SD-WAN-nal való összehasonlítás értelmesebbé válik.

Mielőtt a különbségeket megvitatnánk, íme egy gyors áttekintés a technológiák hasonlóságáról. Tehát mindkét technológia:

  • rendelkezik egy olyan mechanizmussal, amely lehetővé teszi az egyes kialakított alagút állapotának dinamikus értékelését bizonyos mérőszámok alapján - minimális késleltetéssel, késleltetési ingadozással és csomagvesztéssel (%)
  • meghatározott eszközkészletet használjon a forgalomirányítási szabályok (irányelvek) kialakítására, elosztására és alkalmazására, figyelembe véve a kulcsfontosságú alagútmutatók állapotmérésének eredményeit.
  • osztályozza az alkalmazásforgalmat az OSI-modell L3-L4 (DSCP) szintjein vagy L7-es alkalmazás-aláírásokkal a routerbe épített DPI-mechanizmusok alapján
  • Jelentős alkalmazások esetén lehetővé teszik a mérőszámok elfogadható küszöbértékeinek meghatározását, a forgalom alapértelmezés szerinti továbbítására vonatkozó szabályokat, valamint a küszöbértékek túllépése esetén a forgalom átirányítására vonatkozó szabályokat.
  • A forgalom GRE/IPSec-be ágyazásakor a már kialakult iparági mechanizmust használják a belső DSCP-jelölések átvitelére a külső GRE/IPSEC csomagfejlécbe, amely lehetővé teszi a szervezet és a távközlési szolgáltató QoS-irányelveinek szinkronizálását (ha van megfelelő SLA). .

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Miben különböznek az SD-WAN és a DMVPN/PfR végpontok közötti mérőszámai?

DMVPN/PfR

  • Mind az aktív, mind a passzív szoftverérzékelőket (Probes) használják a szabványos alagút-egészségügyi mutatók értékelésére. Az aktívak felhasználói forgalomra épülnek, a passzívak emulálják az ilyen forgalmat (hiányában).
  • Az időzítők és a degradáció-észlelési feltételek finomhangolása nincs - az algoritmus rögzített.
  • Ezenkívül rendelkezésre áll a használt sávszélesség mérése a kimenő irányban. Ez további forgalomkezelési rugalmasságot ad a DMVPN/PfR-hez.
  • Ugyanakkor egyes PfR-mechanizmusok a mérőszámok túllépése esetén a visszacsatolási jelzésekre támaszkodnak speciális TCA (Threshold Crossing Alert) üzenetek formájában, amelyeknek a forgalmi címzetttől a forrás felé kell érkezniük, ami viszont feltételezi, hogy a a mért csatornáknak legalább elegendőnek kell lenniük az ilyen TCA-üzenetek továbbításához. Ami a legtöbb esetben nem probléma, de nyilván nem garantálható.

SD WAN

  • A szabványos alagútállapot-metrikák végpontok közötti kiértékeléséhez a BFD protokollt visszhang módban használják. Ebben az esetben nincs szükség speciális visszacsatolásra TCA vagy hasonló üzenetek formájában - a hibatartományok elkülönítése megmarad. Ezenkívül nem szükséges felhasználói forgalom jelenléte az alagút állapotának értékeléséhez.
  • Lehetőség van a BFD időzítők finomhangolására, hogy az algoritmus válaszsebességét és érzékenységét a kommunikációs csatorna leromlására néhány másodpercről percre szabályozza.

    A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

  • A cikk írásakor minden alagútban csak egy BFD munkamenet van. Ez potenciálisan kisebb részletességet hoz létre az alagútállapot-elemzésben. A valóságban ez csak akkor jelenthet korlátot, ha MPLS L2/L3 VPN-en alapuló WAN-kapcsolatot használ egy egyeztetett QoS SLA-val - ha a BFD forgalom DSCP-jelölése (IPSec/GRE-be való beágyazás után) megegyezik a magas prioritású sorral a távközlési szolgáltató hálózatát, akkor ez befolyásolhatja az alacsony prioritású forgalom leromlásának észlelésének pontosságát és sebességét. Ugyanakkor lehetőség van az alapértelmezett BFD címkézés megváltoztatására az ilyen helyzetek kockázatának csökkentése érdekében. A Cisco SD-WAN szoftver jövőbeli verzióiban finomabb BFD-beállítások várhatók, valamint több BFD-munkamenet indításának lehetősége ugyanazon alagúton belül egyedi DSCP-értékekkel (különböző alkalmazásokhoz).
  • A BFD emellett lehetővé teszi, hogy megbecsülje a maximális csomagméretet, amely egy adott alagúton töredezettség nélkül továbbítható. Ez lehetővé teszi az SD-WAN számára, hogy dinamikusan állítsa be az olyan paramétereket, mint az MTU és a TCP MSS Adjust, hogy a lehető legtöbbet hozza ki az egyes kapcsolatokon elérhető sávszélességből.
  • Az SD-WAN-ban a távközlési szolgáltatók QoS szinkronizálásának lehetősége is elérhető, nem csak az L3 DSCP mezők alapján, hanem az L2 CoS értékek alapján is, amelyeket a fiókhálózatban speciális eszközökkel - pl. IP - automatikusan generálhatnak. telefonok

Miben különböznek az AppQ-házirendek képességei, meghatározásának és alkalmazásának módjai?

DMVPN/PfR irányelvek:

  • A központi elágazó útválasztó(k)on a CLI parancssoron vagy a CLI konfigurációs sablonokon keresztül határozható meg. A CLI-sablonok előállítása előkészítést és a szabályzat szintaxisának ismeretét igényli.

    A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

  • Globálisan meghatározva az egyedi konfiguráció/módosítás lehetősége nélkül az egyes hálózati szegmensek követelményeihez.
  • A grafikus felületen nincs lehetőség interaktív házirend létrehozására.
  • A változások nyomon követése, az öröklődés és a házirendek több verziójának létrehozása a gyors váltás érdekében nem biztosított.
  • Automatikusan elosztva a távoli ágak útválasztói számára. Ebben az esetben ugyanazokat a kommunikációs csatornákat használják, mint a felhasználói adatok továbbítására. Ha nincs kommunikációs csatorna a központi és a távoli ág között, a házirendek elosztása/módosítása lehetetlen.
  • Ezeket minden útválasztón használják, és szükség esetén módosítják a magasabb prioritású szabványos útválasztási protokollok eredményét.
  • Azokban az esetekben, amikor az összes elágazó WAN-kapcsolat jelentős forgalomveszteséget szenved, nem biztosítanak kompenzációs mechanizmusokat.

SD-WAN irányelvek:

  • A vManage grafikus felületen az interaktív sablonvarázslón keresztül határozható meg.
  • Támogatja több házirend létrehozását, másolását, öröklését, valós idejű váltást a szabályzatok között.
  • Támogatja az egyedi házirend-beállításokat a különböző hálózati szegmensekhez (ágakhoz)
  • A vezérlő és az útválasztó és/vagy a vSmart között bármely rendelkezésre álló jelcsatornán keresztül vannak elosztva – nem függenek közvetlenül az útválasztók közötti adatsík-kapcsolattól. Ehhez természetesen IP-kapcsolat szükséges a router és a vezérlők között.

    A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

  • Azokban az esetekben, amikor egy fiók összes elérhető ága jelentős adatvesztést tapasztal, amely meghaladja a kritikus alkalmazások számára elfogadható küszöbértékeket, további mechanizmusok is használhatók, amelyek növelik az átviteli megbízhatóságot:
    • FEC (további hibajavítás) – speciális redundáns kódolási algoritmust használ. A kritikus forgalom jelentős veszteségű csatornákon történő továbbításakor a FEC automatikusan aktiválható, és szükség esetén lehetővé teszi az elveszett adatrész helyreállítását. Ez némileg növeli a használt átviteli sávszélességet, de jelentősen javítja a megbízhatóságot.

      A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

    • Adatfolyamok megkettőzése – A házirend a FEC mellett a kiválasztott alkalmazások forgalmának automatikus megkettőzését is előírhatja, ha még komolyabb veszteség lép fel, amelyet a FEC nem tud kompenzálni. Ebben az esetben a kiválasztott adatokat az összes alagúton keresztül továbbítják a fogadó ág felé, a duplikáció megszüntetésével (a csomagok extra másolatainak eldobásával). A mechanizmus jelentősen növeli a csatorna kihasználtságot, de jelentősen növeli az átviteli megbízhatóságot is.

Cisco SD-WAN képességek, közvetlen analógok nélkül a DMVPN/PfR-ben

A Cisco SD-WAN megoldás architektúrája bizonyos esetekben lehetővé teszi olyan képességek megszerzését, amelyeket a DMVPN/PfR-en belül vagy rendkívül nehéz megvalósítani, vagy a szükséges munkaerőköltség miatt nem praktikus, vagy teljesen lehetetlen. Nézzük ezek közül a legérdekesebbeket:

Közlekedés-mérnöki (TE)

A TE olyan mechanizmusokat tartalmaz, amelyek lehetővé teszik a forgalom leágazását az útválasztási protokollok által kialakított szabványos útvonalon. A TE-t gyakran használják a hálózati szolgáltatások magas rendelkezésre állásának biztosítására azáltal, hogy a kritikus forgalmat gyorsan és/vagy proaktívan át lehet irányítani egy alternatív (diszjunkt) átviteli útvonalra, hogy biztosítsák a jobb szolgáltatásminőséget vagy hiba esetén a helyreállítási sebességet. a főúton.

A TE megvalósításának nehézsége abban rejlik, hogy előre ki kell számítani és le kell foglalni (ellenőrizni) egy alternatív utat. A távközlési szolgáltatók MPLS hálózataiban ezt a problémát olyan technológiák segítségével oldják meg, mint az MPLS Traffic-Engineering, az IGP protokollok és az RSVP protokoll kiterjesztésével. A közelmúltban szintén egyre népszerűbb a Segment Routing technológia, amely jobban optimalizált a központosított konfigurációra és hangszerelésre. A klasszikus WAN-hálózatokban ezek a technológiák általában nem jelennek meg, vagy hop-by-hop mechanizmusokra korlátozódnak, mint például a Policy-Based Routing (PBR), amelyek képesek elágazni a forgalmat, de ezt minden útválasztón külön-külön valósítják meg - anélkül, hogy igénybe vennék. figyelembe veszi a hálózat általános állapotát vagy a PBR eredményét az előző vagy a következő lépésekben. Ezen TE opciók használatának eredménye kiábrándító - az MPLS TE-t a konfiguráció és a működés bonyolultsága miatt általában csak a hálózat legkritikusabb részén (mag) használják, és a PBR-t az egyes útválasztókon használják anélkül, hogy a teljes hálózatra vonatkozó egységes PBR-házirend létrehozásának képessége. Nyilvánvalóan ez vonatkozik a DMVPN-alapú hálózatokra is.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

Az SD-WAN ebből a szempontból egy sokkal elegánsabb megoldást kínál, amely nemcsak egyszerűen konfigurálható, hanem sokkal jobban skálázható is. Ez a használt vezérlősík és szabályzatsík architektúrák eredménye. A házirend-sík megvalósítása az SD-WAN-ban lehetővé teszi a TE-irányelv központi meghatározását – milyen forgalom érdekli? mely VPN-ekhez? Mely csomópontokon/alagutakon keresztül szükséges, vagy éppen ellenkezőleg, tilos alternatív útvonalat kialakítani? A vSmart vezérlőkön alapuló vezérlősík-kezelés központosítása viszont lehetővé teszi az útválasztási eredmények módosítását az egyes eszközök beállításainak igénybevétele nélkül - az útválasztók már csak a vManage felületen generált és felhasználásra átvitt logikának az eredményét látják. vSmart.

Szolgáltatás-láncolás

A szolgáltatási láncok kialakítása a klasszikus útválasztásban még munkaigényesebb feladat, mint a már ismertetett Traffic-Engineering mechanizmus. Valójában ebben az esetben nemcsak egy speciális útvonalat kell létrehozni egy adott hálózati alkalmazás számára, hanem biztosítani kell a forgalom eltávolításának lehetőségét is a hálózatból az SD-WAN hálózat bizonyos (vagy összes) csomópontjain a feldolgozás céljából. speciális alkalmazás vagy szolgáltatás (Tűzfal, Balancing, Caching, Inspection forgalom stb.). Ugyanakkor szükség van ezen külső szolgáltatások állapotának ellenőrzésére a feketelyuk-helyzetek megelőzése érdekében, és olyan mechanizmusokra is szükség van, amelyek lehetővé teszik az azonos típusú külső szolgáltatások különböző földrajzi helyeken történő elhelyezését. azzal a képességgel, hogy a hálózat automatikusan kiválasztja a legoptimálisabb szolgáltatási csomópontot egy adott ág forgalmának feldolgozásához. A Cisco SD-WAN esetében ez meglehetősen könnyen elérhető egy megfelelő központosított házirend létrehozásával, amely a célszolgáltatási lánc minden aspektusát egyetlen egésszé „ragasztotta”, és csak ott változtatja meg automatikusan az adatsík és a vezérlősík logikáját. és amikor szükséges.

A Cisco SD-WAN levágja azt az ágat, amelyen a DMVPN található?

A Cisco SD-WAN előnyeit a klasszikushoz képest a legvilágosabban demonstrálja az a képesség, hogy meghatározott típusú alkalmazások forgalmának földrajzilag elosztott feldolgozását egy bizonyos sorrendben speciális (de nem magához az SD-WAN hálózathoz kapcsolódó) berendezéseken lehet létrehozni. technológiákat, sőt néhány alternatív SD-megoldást – WAN más gyártóktól.

Az eredmény?

Nyilvánvalóan mind a DMVPN (teljesítményútválasztással vagy anélkül), mind a Cisco SD-WAN végül nagyon hasonló problémákat old meg a szervezet elosztott WAN hálózatával kapcsolatban. Ugyanakkor a Cisco SD-WAN technológia jelentős építészeti és funkcionális különbségei e problémák megoldásához vezetnek. egy másik minőségi szintre. Összefoglalva, a következő jelentős különbségek figyelhetők meg az SD-WAN és a DMVPN/PfR technológiák között:

  • A DMVPN/PfR általában időtesztelt technológiákat használ overlay VPN hálózatok kiépítésére, és adatsík szempontjából hasonlóak a modernebb SD-WAN technológiához, azonban számos korlátozás van a kötelező statikus konfiguráció formájában. az útválasztók és a topológiák választéka a Hub-n-Spoke-ra korlátozódik. Másrészt a DMVPN/PfR rendelkezik néhány olyan funkcióval, amely még nem elérhető az SD-WAN-on belül (alkalmazásonkénti BFD-ről beszélünk).
  • Az irányítási síkon belül a technológiák alapvetően különböznek egymástól. Figyelembe véve a jelzési protokollok központosított feldolgozását, az SD-WAN lehetővé teszi különösen a hibatartományok jelentős szűkítését és a felhasználói forgalom továbbítási folyamatának „leválasztását” a jelzési interakciótól - a vezérlők ideiglenes elérhetetlensége nem befolyásolja a felhasználói forgalom továbbításának képességét. . Ugyanakkor bármely fiók (beleértve a központi fiókot is) átmeneti elérhetetlensége semmilyen módon nem befolyásolja a többi fióknak az egymással és az adatkezelőkkel való interakcióját.
  • A forgalomkezelési szabályzatok kialakításának és alkalmazásának architektúrája az SD-WAN esetében is felülmúlja a DMVPN/PfR-t - a földrajzi foglalás sokkal jobban megvalósított, nincs kapcsolat a Hubbal, több lehetőség van a finomításra -tuning policy, a megvalósított forgalomirányítási forgatókönyvek listája is sokkal nagyobb.
  • A megoldás hangszerelési folyamata is jelentősen eltér. A DMVPN feltételezi a korábban ismert paraméterek jelenlétét, amelyeknek valamilyen módon tükröződniük kell a konfigurációban, ami némileg korlátozza a megoldás rugalmasságát és a dinamikus változtatások lehetőségét. Az SD-WAN viszont azon a paradigmán alapul, hogy a csatlakozás kezdeti pillanatában az útválasztó „nem tud semmit” a vezérlőiről, de tudja, „kitől lehet kérdezni” - ez nemcsak a kommunikáció automatikus létrehozásához elegendő. a vezérlők, hanem egy teljesen összekapcsolt adatsík topológia automatikus kialakítása is, amely azután házirendek segítségével rugalmasan konfigurálható/módosítható.
  • A központosított felügyelet, automatizálás és felügyelet tekintetében az SD-WAN várhatóan felülmúlja a DMVPN/PfR képességeit, amelyek a klasszikus technológiákból fejlődtek ki, és nagyobb mértékben támaszkodnak a CLI parancssorra és a sablon alapú NMS rendszerek használatára.
  • Az SD-WAN-ban a DMVPN-hez képest a biztonsági követelmények más minőségi szintet értek el. A fő elvek a nulla bizalom, a méretezhetőség és a kéttényezős hitelesítés.

Ezek az egyszerű következtetések azt a téves benyomást kelthetik, hogy a DMVPN/PfR alapú hálózat létrehozása mára elvesztette jelentőségét. Ez persze nem teljesen igaz. Például azokban az esetekben, amikor a hálózat sok elavult berendezést használ, és nincs mód annak cseréjére, a DMVPN lehetővé teszi, hogy a „régi” és „új” eszközöket egyetlen földrajzilag elosztott hálózatba vonja össze a leírt előnyök közül sok. felett.

Másrészt nem szabad elfelejteni, hogy az összes jelenlegi IOS XE-n alapuló Cisco vállalati útválasztó (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) ma már bármilyen üzemmódot támogat – mind a klasszikus útválasztást, mind a DMVPN-t és az SD-WAN-t. a választást az aktuális igények határozzák meg, és annak megértése, hogy ugyanazt a berendezést használva bármikor elindulhat a fejlettebb technológia felé.

Forrás: will.com

Hozzászólás