ProHoster > Օրագիր > Վարչակազմը > Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

2017 թվականի օգոստոսից, երբ Cisco-ն ձեռք բերեց Viptela-ն, բաշխված ձեռնարկությունների ցանցերի կազմակերպման համար առաջարկվող հիմնական տեխնոլոգիան դարձել է. Cisco SD-WAN. Վերջին 3 տարիների ընթացքում SD-WAN տեխնոլոգիան անցել է բազմաթիվ փոփոխությունների, ինչպես որակական, այնպես էլ քանակական: Այսպիսով, ֆունկցիոնալությունը զգալիորեն ընդլայնվել է և աջակցություն է հայտնվել շարքի դասական երթուղիչների վրա Cisco ISR 1000, ISR 4000, ASR 1000 և վիրտուալ CSR 1000v. Միևնույն ժամանակ, Cisco-ի շատ հաճախորդներ և գործընկերներ շարունակում են մտածել. որոնք են տարբերությունները Cisco SD-WAN-ի և արդեն ծանոթ մոտեցումների միջև, որոնք հիմնված են այնպիսի տեխնոլոգիաների վրա, ինչպիսիք են Cisco DMVPN и Cisco Performance Routing և որքանո՞վ են կարևոր այս տարբերությունները:

Այստեղ մենք պետք է անմիջապես վերապահենք, որ մինչև Cisco-ի պորտֆելում SD-WAN-ի հայտնվելը, DMVPN-ը PfR-ի հետ միասին կազմում էին ճարտարապետության առանցքային մասը: Cisco IWAN (Խելացի WAN), որն իր հերթին հանդիսանում էր լիարժեք SD-WAN տեխնոլոգիայի նախորդը։ Չնայած ինչպես լուծվող խնդիրների, այնպես էլ դրանց լուծման մեթոդների ընդհանուր նմանությանը, IWAN-ը երբեք չի ստացել SD-WAN-ի համար անհրաժեշտ ավտոմատացման, ճկունության և մասշտաբայնության մակարդակը, և ժամանակի ընթացքում IWAN-ի զարգացումը զգալիորեն նվազել է: Միևնույն ժամանակ, IWAN-ը կազմող տեխնոլոգիաները չեն անհետացել, և շատ հաճախորդներ շարունակում են հաջողությամբ օգտագործել դրանք, այդ թվում՝ ժամանակակից սարքավորումների վրա: Արդյունքում հետաքրքիր իրավիճակ է ստեղծվել՝ նույն Cisco սարքավորումը թույլ է տալիս ընտրել ամենահարմար WAN տեխնոլոգիան (դասական, DMVPN+PfR կամ SD-WAN)՝ հաճախորդների պահանջներին և ակնկալիքներին համապատասխան։

Հոդվածը մտադիր չէ մանրամասնորեն վերլուծել Cisco SD-WAN և DMVPN տեխնոլոգիաների բոլոր հատկանիշները (կատարողական երթուղղման միջոցով կամ առանց դրա) - դրա համար առկա են հսկայական քանակությամբ փաստաթղթեր և նյութեր: Հիմնական խնդիրն է փորձել գնահատել այս տեխնոլոգիաների հիմնական տարբերությունները: Բայց նախքան այս տարբերությունների քննարկմանը անցնելը, եկեք համառոտ հիշենք հենց տեխնոլոգիաները:

Ի՞նչ է Cisco DMVPN-ն և ինչու է այն անհրաժեշտ:

Cisco DMVPN-ն լուծում է հեռավոր մասնաճյուղային ցանցի դինամիկ (= մասշտաբային) միացման խնդիրը ձեռնարկության կենտրոնական գրասենյակի ցանցին, երբ օգտագործում է կապի կամայական ալիքներ, ներառյալ ինտերնետը (= կապի ալիքի գաղտնագրմամբ): Տեխնիկապես դա իրականացվում է՝ ստեղծելով L3 VPN դասի վիրտուալացված ցանց՝ կետից բազմակետ ռեժիմում՝ «Star» տիպի տրամաբանական տոպոլոգիայով (Hub-n-Spoke): Դրան հասնելու համար DMVPN-ն օգտագործում է հետևյալ տեխնոլոգիաների համադրությունը.

  • IP երթուղղում
  • Բազմակետ GRE թունելներ (mGRE)
  • Հաջորդ Hop Resolution Protocol (NHRP)
  • IPSec Crypto պրոֆիլներ

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Որո՞նք են Cisco DMVPN-ի հիմնական առավելությունները՝ համեմատած MPLS VPN ալիքների օգտագործմամբ դասական երթուղավորման հետ:

  • Միջճյուղային ցանց ստեղծելու համար հնարավոր է օգտագործել ցանկացած կապի ալիք. այն ամենը, ինչը կարող է ապահովել IP կապ մասնաճյուղերի միջև, հարմար է, մինչդեռ երթևեկությունը կլինի կոդավորված (անհրաժեշտության դեպքում) և հավասարակշռված (հնարավորության դեպքում):
  • Ավտոմատ ձևավորվում է ճյուղերի միջև լիովին միացված տոպոլոգիա: Միևնույն ժամանակ, կենտրոնական և հեռավոր ճյուղերի միջև կան ստատիկ թունելներ, իսկ հեռավոր ճյուղերի միջև ըստ պահանջի դինամիկ թունելներ (եթե կա երթևեկություն)
  • Կենտրոնական և հեռավոր ճյուղի երթուղիչները ունեն նույն կոնֆիգուրացիան մինչև ինտերֆեյսի IP հասցեները: Օգտագործելով mGRE, կարիք չկա անհատապես կարգավորել տասնյակ, հարյուրավոր կամ նույնիսկ հազարավոր թունելներ: Արդյունքում՝ պատշաճ ընդլայնելիություն՝ ճիշտ դիզայնով:

Ի՞նչ է Cisco Performance Routing-ը և ինչու է դա անհրաժեշտ:

Միջճյուղային ցանցում DMVPN-ն օգտագործելիս մնում է չլուծված մեկ չափազանց կարևոր հարց՝ ինչպես դինամիկ կերպով գնահատել DMVPN թունելներից յուրաքանչյուրի վիճակը մեր կազմակերպության համար կարևոր երթևեկության պահանջներին համապատասխանելու համար և, կրկին, նման գնահատման հիման վրա դինամիկ կերպով կատարել: երթուղի փոխելու որոշում. Փաստն այն է, որ DMVPN-ն այս մասում քիչ է տարբերվում դասական երթուղուցից. լավագույնը, որ կարելի է անել, դա QoS մեխանիզմների կարգավորումն է, որը թույլ կտա առաջնահերթություն տալ երթևեկությանը ելքային ուղղությամբ, բայց ոչ մի կերպ ի վիճակի չեն հաշվի առնելու վիճակը: ամբողջ ուղին այս կամ այն ​​ժամանակ.

Իսկ ի՞նչ անել, եթե ալիքը մասամբ և ոչ ամբողջությամբ դեգրադացվի. ինչպե՞ս բացահայտել և գնահատել դա: DMVPN-ն ինքնին չի կարող դա անել: Հաշվի առնելով, որ ճյուղերը միացնող ալիքները կարող են անցնել բոլորովին այլ հեռահաղորդակցական օպերատորների միջով, օգտագործելով բոլորովին այլ տեխնոլոգիաներ, այս խնդիրը դառնում է չափազանց աննշան: Եվ ահա, որտեղ օգնության է հասնում Cisco Performance Routing տեխնոլոգիան, որն այդ ժամանակ արդեն անցել էր զարգացման մի քանի փուլ։

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Cisco Performance Routing-ի (այսուհետ՝ PfR) խնդիրը հանգում է երթևեկության ուղիների (թունելների) վիճակը չափելուն՝ հիմնված ցանցային հավելվածների համար կարևոր հիմնական ցուցանիշների վրա. ուշացում, հետաձգման տատանումներ (ցնցում) և փաթեթների կորուստ (տոկոս). Բացի այդ, օգտագործվող թողունակությունը կարող է չափվել: Այս չափումները կատարվում են իրական ժամանակին հնարավորինս մոտ և արդարացիորեն, և այդ չափումների արդյունքը թույլ է տալիս PfR օգտագործող երթուղիչին դինամիկ որոշումներ կայացնել այս կամ այն ​​երթևեկության երթուղիները փոխելու անհրաժեշտության վերաբերյալ:

Այսպիսով, DMVPN/PfR համակցության առաջադրանքը կարելի է համառոտ նկարագրել հետևյալ կերպ.

  • Թույլատրել հաճախորդին օգտագործել ցանկացած կապի ալիք WAN ցանցում
  • Ապահովեք այս ալիքների կարևորագույն հավելվածների հնարավոր ամենաբարձր որակը

Ի՞նչ է Cisco SD-WAN-ը:

Cisco SD-WAN-ը տեխնոլոգիա է, որն օգտագործում է SDN մոտեցումը կազմակերպության WAN ցանց ստեղծելու և գործարկելու համար: Սա մասնավորապես նշանակում է այսպես կոչված կարգավորիչների (ծրագրային տարրերի) օգտագործում, որոնք ապահովում են լուծման բոլոր բաղադրիչների կենտրոնացված կազմակերպում և ավտոմատացված կոնֆիգուրացիա: Ի տարբերություն կանոնական SDN-ի (Clean Slate ոճ), Cisco SD-WAN-ն օգտագործում է մի քանի տեսակի կարգավորիչներ, որոնցից յուրաքանչյուրը կատարում է իր դերը. դա արվել է միտումնավոր՝ ավելի լավ մասշտաբայնություն և աշխարհագրական ավելորդություն ապահովելու համար:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

SD-WAN-ի դեպքում ցանկացած տեսակի ալիքների օգտագործման և բիզնես հավելվածների շահագործումն ապահովելու խնդիրը մնում է նույնը, բայց միևնույն ժամանակ ընդլայնվում են նման ցանցի ավտոմատացման, մասշտաբայնության, անվտանգության և ճկունության պահանջները:

Տարբերությունների քննարկում

Եթե ​​հիմա սկսենք վերլուծել այս տեխնոլոգիաների միջև եղած տարբերությունները, ապա դրանք կհայտնվեն հետևյալ կատեգորիաներից մեկում.

  • Ճարտարապետական ​​տարբերություններ. ինչպե՞ս են գործառույթները բաշխվում լուծման տարբեր բաղադրիչների վրա, ինչպե՞ս է կազմակերպվում այդպիսի բաղադրիչների փոխազդեցությունը, և ինչպե՞ս է դա ազդում տեխնոլոգիայի հնարավորությունների և ճկունության վրա:
  • Ֆունկցիոնալություն. ի՞նչ կարող է անել մի տեխնոլոգիա, որը չի կարող անել մյուսը: Եվ արդյոք դա իսկապես այդքան կարևոր է:

Որո՞նք են ճարտարապետական ​​տարբերությունները և արդյոք դրանք կարևոր են:

Այս տեխնոլոգիաներից յուրաքանչյուրն ունի բազմաթիվ «շարժվող մասեր», որոնք տարբերվում են ոչ միայն իրենց դերերով, այլև միմյանց հետ փոխազդեցությամբ: Որքանով են այս սկզբունքները մտածված, և լուծման ընդհանուր մեխանիզմը ուղղակիորեն որոշում է դրա մասշտաբայնությունը, սխալների հանդուրժողականությունը և ընդհանուր արդյունավետությունը:

Եկեք ավելի մանրամասն նայենք ճարտարապետության տարբեր ասպեկտներին.

Տվյալների հարթություն – լուծման մի մասը, որը պատասխանատու է օգտագործողի տրաֆիկի փոխանցման համար աղբյուրի և ստացողի միջև: DMVPN-ը և SD-WAN-ը հիմնականում նույնական են իրականացվում հենց երթուղիչների վրա՝ հիմնված Multipoint GRE թունելների վրա: Տարբերությունն այն է, թե ինչպես է ձևավորվում այս թունելների համար անհրաժեշտ պարամետրերի շարքը.

  • в DMVPN/PfR Star կամ Hub-n-Spoke տոպոլոգիայով հանգույցների բացառապես երկաստիճան հիերարխիա է։ Պահանջվում է Hub-ի ստատիկ կոնֆիգուրացիա և Spoke-ի ստատիկ կապակցում Hub-ին, ինչպես նաև փոխազդեցություն NHRP արձանագրության միջոցով տվյալների հարթության միացում ձևավորելու համար: հետևաբար, Հաբում փոփոխությունները զգալիորեն ավելի բարդացնելըկապված, օրինակ, նոր WAN ալիքների փոփոխման/միացման կամ գոյություն ունեցողների պարամետրերի փոփոխության հետ:
  • в SD WAN լիովին դինամիկ մոդել է տեղադրված թունելների պարամետրերի հայտնաբերման համար, որը հիմնված է կառավարման հարթության (OMP արձանագրություն) և նվագախմբային հարթության վրա (փոխազդեցություն vBond կարգավորիչի հետ վերահսկիչի հայտնաբերման և NAT անցման առաջադրանքների համար): Այս դեպքում կարող են օգտագործվել ցանկացած վերադրված տոպոլոգիաներ, ներառյալ հիերարխիկները: Սահմանված ծածկույթի թունելի տոպոլոգիայի շրջանակներում հնարավոր է տրամաբանական տոպոլոգիայի ճկուն կոնֆիգուրացիա յուրաքանչյուր առանձին VPN-ում (VRF):

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Կառավարման ինքնաթիռ – լուծման բաղադրիչների միջև երթուղիչի և այլ տեղեկատվության փոխանակման, զտման և փոփոխման գործառույթներ:

  • в DMVPN/PfR – իրականացվում է միայն Hub և Spoke երթուղիչների միջև: Հնարավոր չէ երթուղային տեղեկատվության ուղղակի փոխանակում Spokes-ի միջև: հետևաբար, Առանց գործող հանգույցի, կառավարման հարթությունը և տվյալների հարթությունը չեն կարող գործել, որը պարտադրում է Hub-ին բարձր հասանելիության լրացուցիչ պահանջներ, որոնք միշտ չեն կարող բավարարվել:
  • в SD WAN – կառավարման հարթությունը երբեք չի իրականացվում ուղղակիորեն երթուղիչների միջև – փոխազդեցությունը տեղի է ունենում OMP արձանագրության հիման վրա և պարտադիր իրականացվում է vSmart կարգավորիչի առանձին մասնագիտացված տեսակի միջոցով, որն ապահովում է հավասարակշռման, աշխարհագրավման և կենտրոնացված կառավարման հնարավորություն: ազդանշանային բեռ: OMP արձանագրության մեկ այլ առանձնահատկությունն այն է, որ նրա զգալի դիմադրությունը կորուստներին և անկախությունը կարգավորիչների հետ կապի ալիքի արագությունից (իհարկե ողջամիտ սահմաններում): Ինչը հավասարապես հաջողությամբ թույլ է տալիս տեղադրել SD-WAN կարգավորիչներ հանրային կամ մասնավոր ամպերի մեջ՝ ինտերնետի միջոցով հասանելիությամբ:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Քաղաքականություն-պլան – լուծման մի մասը, որը պատասխանատու է բաշխված ցանցում երթևեկության կառավարման քաղաքականության սահմանման, բաշխման և կիրառման համար:

  • DMVPN – արդյունավետորեն սահմանափակված է ծառայության որակի (QoS) քաղաքականություններով, որոնք առանձին կազմաձևված են յուրաքանչյուր երթուղիչի վրա CLI կամ Prime Infrastructure ձևանմուշների միջոցով:
  • DMVPN/PfR – PfR քաղաքականությունը ձևավորվում է կենտրոնացված Master Controller (MC) երթուղիչի վրա CLI-ի միջոցով և այնուհետև ավտոմատ կերպով բաշխվում մասնաճյուղային MC-ներին: Այս դեպքում քաղաքականության փոխանցման նույն ուղիներն օգտագործվում են, ինչ տվյալների հարթության համար: Քաղաքականությունների, երթուղային տեղեկատվության և օգտատերերի տվյալների փոխանակման հնարավորություն չկա: Քաղաքականության տարածումը պահանջում է IP կապի առկայություն Hub-ի և Spoke-ի միջև: Այս դեպքում MC ֆունկցիան, անհրաժեշտության դեպքում, կարող է համակցվել DMVPN երթուղիչի հետ: Հնարավոր է (բայց ոչ պարտադիր) օգտագործել Prime Infrastructure ձևանմուշները կենտրոնացված քաղաքականության ստեղծման համար: Կարևոր առանձնահատկությունն այն է, որ քաղաքականությունը գլոբալ ձևավորվում է ցանցում նույն ձևով. Առանձին հատվածների համար անհատական ​​քաղաքականությունները չեն աջակցվում.
  • SD WAN – Երթևեկության կառավարման և ծառայության որակի քաղաքականությունը որոշվում է կենտրոնական կարգով՝ Cisco vManage գրաֆիկական ինտերֆեյսի միջոցով, որը հասանելի է նաև ինտերնետի միջոցով (անհրաժեշտության դեպքում): Դրանք բաշխվում են ազդանշանային ալիքների միջոցով ուղղակիորեն կամ անուղղակիորեն vSmart կարգավորիչների միջոցով (կախված քաղաքականության տեսակից): Դրանք կախված չեն երթուղիչների միջև տվյալների հարթության միացումից, քանի որ օգտագործել բոլոր հասանելի երթևեկության ուղիները կարգավորիչի և երթուղիչի միջև:

    Ցանցի տարբեր սեգմենտների համար հնարավոր է ճկուն կերպով ձևակերպել տարբեր քաղաքականություններ. քաղաքականության շրջանակը որոշվում է լուծման մեջ ներկայացված բազմաթիվ եզակի նույնացուցիչներով՝ մասնաճյուղի համարը, հավելվածի տեսակը, երթևեկության ուղղությունը և այլն:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Նվագախումբ-ինքնաթիռ – մեխանիզմներ, որոնք թույլ են տալիս բաղադրիչներին դինամիկ կերպով հայտնաբերել միմյանց, կարգավորել և համակարգել հետագա փոխազդեցությունները:

  • в DMVPN/PfR Երթուղիչների միջև փոխադարձ հայտնաբերումը հիմնված է Hub սարքերի ստատիկ կազմաձևման և Spoke սարքերի համապատասխան կոնֆիգուրացիայի վրա: Դինամիկ բացահայտումը տեղի է ունենում միայն Spoke-ի համար, որը հաղորդում է իր Hub կապի պարամետրերը սարքին, որն իր հերթին նախապես կազմաձևված է Spoke-ով: Առանց IP կապի Spoke-ի և առնվազն մեկ Hub-ի միջև անհնար է ձևավորել ոչ տվյալների հարթություն, ոչ էլ կառավարման հարթություն:
  • в SD WAN Լուծման բաղադրիչների կազմակերպումը տեղի է ունենում vBond կարգավորիչի միջոցով, որի հետ յուրաքանչյուր բաղադրիչ (երթուղիչներ և vManage/vSmart կարգավորիչներ) նախ պետք է հաստատի IP կապ:

    Սկզբում բաղադրիչները չգիտեն միմյանց կապի պարամետրերի մասին, դրա համար նրանց անհրաժեշտ է vBond միջնորդ նվագախումբ: Ընդհանուր սկզբունքը հետևյալն է. սկզբնական փուլում յուրաքանչյուր բաղադրիչ սովորում է (ավտոմատ կամ ստատիկ) միայն vBond-ի միացման պարամետրերի մասին, այնուհետև vBond-ը տեղեկացնում է երթուղիչին vManage և vSmart կարգավորիչների մասին (ավելի վաղ հայտնաբերված), ինչը հնարավորություն է տալիս ավտոմատ կերպով հաստատել: բոլոր անհրաժեշտ ազդանշանային կապերը.

    Հաջորդ քայլն այն է, որ նոր երթուղիչն իմանա ցանցի մյուս երթուղիչների մասին vSmart կարգավորիչի հետ OMP հաղորդակցության միջոցով: Այսպիսով, երթուղիչը, ի սկզբանե ընդհանրապես ոչինչ չիմանալով ցանցի պարամետրերի մասին, ի վիճակի է լիովին ավտոմատ կերպով հայտնաբերել և միանալ կարգավորիչներին, այնուհետև ավտոմատ կերպով հայտնաբերել և կապ ստեղծել այլ երթուղիչների հետ: Այս դեպքում բոլոր բաղադրիչների միացման պարամետրերը ի սկզբանե անհայտ են և կարող են փոխվել շահագործման ընթացքում:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Կառավարում-ինքնաթիռ – լուծման մի մասը, որն ապահովում է կենտրոնացված կառավարում և մոնիտորինգ:

  • DMVPN/PfR – մասնագիտացված կառավարման պլանային լուծում չի տրամադրվում: Հիմնական ավտոմատացման և մոնիտորինգի համար կարող են օգտագործվել այնպիսի արտադրանք, ինչպիսին է Cisco Prime Infrastructure-ը: Յուրաքանչյուր երթուղիչ ունի CLI հրամանի տողի միջոցով կառավարվելու հնարավորություն: API-ի միջոցով արտաքին համակարգերի հետ ինտեգրումը չի տրամադրվում:
  • SD WAN – բոլոր կանոնավոր փոխազդեցությունները և մոնիտորինգն իրականացվում են կենտրոնացված՝ vManage կարգավորիչի գրաֆիկական ինտերֆեյսի միջոցով: Լուծման բոլոր հնարավորությունները, առանց բացառության, հասանելի են vManage-ի միջոցով կազմաձևելու համար, ինչպես նաև ամբողջությամբ փաստաթղթավորված REST API գրադարանի միջոցով:

    SD-WAN ցանցի բոլոր կարգավորումները vManage-ում հանգում են երկու հիմնական կառուցվածքի՝ սարքի ձևանմուշների ձևավորում (Device Template) և քաղաքականության ձևավորում, որը որոշում է ցանցի շահագործման և երթևեկության մշակման տրամաբանությունը: Միևնույն ժամանակ, vManage-ը, հեռարձակելով ադմինիստրատորի կողմից ստեղծված քաղաքականությունը, ավտոմատ կերպով ընտրում է, թե որ փոփոխությունները և որոնց վրա պետք է կատարվեն առանձին սարքեր/կարգավորիչներ, ինչը զգալիորեն մեծացնում է լուծման արդյունավետությունն ու մասշտաբայնությունը։

    vManage ինտերֆեյսի միջոցով հասանելի է ոչ միայն Cisco SD-WAN լուծման կոնֆիգուրացիա, այլև լուծման բոլոր բաղադրիչների կարգավիճակի ամբողջական մոնիտորինգ՝ մինչև առանձին թունելների չափումների ներկա վիճակն ու տարբեր հավելվածների օգտագործման վիճակագրությունը: հիմնված ՀՏՎ վերլուծության վրա:

    Չնայած փոխազդեցության կենտրոնացմանը, բոլոր բաղադրիչները (կարգավորիչներ և երթուղիչներ) ունեն նաև լիովին ֆունկցիոնալ CLI հրամանի տող, որն անհրաժեշտ է իրականացման փուլում կամ արտակարգ իրավիճակների դեպքում տեղական ախտորոշման համար: Նորմալ ռեժիմում (եթե բաղադրիչների միջև ազդանշանային ալիք կա) երթուղղիչների վրա, հրամանի տողը հասանելի է միայն ախտորոշման համար և հասանելի չէ տեղական փոփոխություններ կատարելու համար, ինչը երաշխավորում է տեղական անվտանգությունը և նման ցանցում փոփոխությունների միակ աղբյուրը vManage-ն է:

Ինտեգրված անվտանգություն – այստեղ մենք պետք է խոսենք ոչ միայն օգտագործողի տվյալների պաշտպանության մասին, երբ դրանք փոխանցվում են բաց ալիքներով, այլև ընտրված տեխնոլոգիայի հիման վրա WAN ցանցի ընդհանուր անվտանգության մասին:

  • в DMVPN/PfR Հնարավոր է գաղտնագրել օգտվողի տվյալները և ազդանշանային արձանագրությունները: Երթուղիչի որոշակի մոդելներ օգտագործելիս լրացուցիչ հասանելի են firewall-ի գործառույթները՝ երթևեկության ստուգմամբ, IPS/IDS: Հնարավոր է բաժանել մասնաճյուղային ցանցերը VRF-ի միջոցով: Հնարավոր է վավերացնել (մեկ գործոնով) վերահսկման արձանագրությունները:

    Այս դեպքում հեռավոր երթուղիչը լռելյայն համարվում է ցանցի վստահելի տարր, այսինքն. Առանձին սարքերի ֆիզիկական վնասման դեպքերը և դրանց չթույլատրված մուտքի հնարավորությունը չեն ենթադրվում կամ հաշվի չեն առնվում, չկա լուծման բաղադրիչների երկգործոն նույնականացում, ինչը աշխարհագրորեն բաշխված ցանցի դեպքում. կարող է զգալի լրացուցիչ ռիսկեր կրել:

  • в SD WAN DMVPN-ի անալոգիայով տրամադրվում է օգտատերերի տվյալները գաղտնագրելու հնարավորությունը, սակայն զգալիորեն ընդլայնված ցանցի անվտանգության և L3/VRF սեգմենտավորման գործառույթներով (firewall, IPS/IDS, URL զտիչ, DNS զտիչ, AMP/TG, SASE, TLS/SSL վստահված անձ, և այլն) դ.): Միևնույն ժամանակ, կոդավորման բանալիների փոխանակումն ավելի արդյունավետ է իրականացվում vSmart կարգավորիչների միջոցով (այլ ոչ թե ուղղակիորեն), նախապես հաստատված ազդանշանային ալիքների միջոցով, որոնք պաշտպանված են DTLS/TLS գաղտնագրմամբ՝ հիմնված անվտանգության վկայագրերի վրա: Ինչն իր հերթին երաշխավորում է նման փոխանակումների անվտանգությունը և ապահովում է լուծման ավելի լայնածավալություն մինչև միևնույն ցանցի տասնյակ հազարավոր սարքեր:

    Բոլոր ազդանշանային միացումները (կարգավորիչ-կառավարիչ, կարգավորիչ-երթուղիչ) նույնպես պաշտպանված են DTLS/TLS-ի հիման վրա: Երթուղիչները հագեցած են արտադրության ընթացքում անվտանգության վկայագրերով՝ փոխարինման/երկարացման հնարավորությամբ։ Երկգործոն նույնականացումն իրականացվում է SD-WAN ցանցում երթուղիչի/կարգավորիչի համար երկու պայմանի պարտադիր և միաժամանակ կատարման միջոցով.

    • Անվտանգության վավեր վկայագիր
    • Յուրաքանչյուր բաղադրիչի ադմինիստրատորի կողմից բացահայտ և գիտակցված ներառում թույլատրված սարքերի «սպիտակ» ցուցակում:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

SD-WAN-ի և DMVPN/PfR-ի միջև ֆունկցիոնալ տարբերությունները

Անցնելով ֆունկցիոնալ տարբերությունների քննարկմանը, հարկ է նշել, որ դրանցից շատերը ճարտարապետականի շարունակությունն են. Դիտարկենք երկու տեխնոլոգիաների ամենակարևոր տարբերությունները:

AppQ (Application Quality) – գործառույթներ, որոնք ապահովում են բիզնես հավելվածների տրաֆիկի փոխանցման որակը

Քննարկվող տեխնոլոգիաների հիմնական գործառույթներն ուղղված են օգտատերերի փորձի հնարավորինս բարելավմանը բաշխված ցանցում բիզնեսի համար կարևոր հավելվածներ օգտագործելիս: Սա հատկապես կարևոր է այն պայմաններում, երբ ենթակառուցվածքի մի մասը չի վերահսկվում ՏՏ կողմից կամ նույնիսկ չի երաշխավորում տվյալների հաջող փոխանցում:

DMVPN-ն ինքնին նման մեխանիզմներ չի ապահովում: Լավագույնը, որ կարելի է անել դասական DMVPN ցանցում, ելքային թրաֆիկը դասակարգելն է ըստ հավելվածի և առաջնահերթություն տալ այն, երբ այն փոխանցվում է դեպի WAN ալիք: DMVPN թունելի ընտրությունն այս դեպքում որոշվում է միայն դրա առկայությամբ և երթուղային արձանագրությունների գործողության արդյունքով: Միևնույն ժամանակ, ուղու/թունելի վերջից մինչև վերջ վիճակը և դրա հնարավոր մասնակի դեգրադացիան հաշվի չեն առնվում ցանցային կիրառությունների համար նշանակալի հիմնական ցուցանիշների առումով՝ ուշացում, հետաձգման փոփոխություն (ջիթ) և կորուստներ (%): ) Այս առումով, AppQ խնդիրների լուծման առումով դասական DMVPN-ն ուղղակիորեն համեմատելը SD-WAN-ի հետ կորցնում է ողջ իմաստը. DMVPN-ն չի կարող լուծել այս խնդիրը: Երբ այս համատեքստում ավելացնում եք Cisco Performance Routing (PfR) տեխնոլոգիան, իրավիճակը փոխվում է, և Cisco SD-WAN-ի հետ համեմատությունն ավելի իմաստալից է դառնում:

Նախքան տարբերությունները քննարկելը, ահա արագ նայեք, թե ինչպես են տեխնոլոգիաները նման: Այսպիսով, երկու տեխնոլոգիաները.

  • ունեն մեխանիզմ, որը թույլ է տալիս դինամիկորեն գնահատել յուրաքանչյուր հաստատված թունելի վիճակը որոշակի չափումների առումով՝ նվազագույնը, ուշացումով, հետաձգման փոփոխությամբ և փաթեթի կորստով (%)
  • օգտագործել երթևեկության կառավարման կանոններ (քաղաքականություն) ձևավորելու, բաշխելու և կիրառելու համար գործիքների հատուկ փաթեթ՝ հաշվի առնելով հիմնական թունելի չափումների վիճակի չափման արդյունքները:
  • դասակարգել հավելվածների երթևեկությունը OSI մոդելի L3-L4 (DSCP) մակարդակներում կամ L7 հավելվածի ստորագրություններով՝ հիմնվելով երթուղիչում ներկառուցված DPI մեխանիզմների վրա
  • Նշանակալից ծրագրերի համար դրանք թույլ են տալիս որոշել չափումների ընդունելի շեմային արժեքները, լռելյայն երթևեկության փոխանցման կանոնները և շեմային արժեքները գերազանցելու դեպքում երթևեկության վերաուղղորդման կանոնները:
  • GRE/IPSec-ում երթևեկությունն ամփոփելիս նրանք օգտագործում են արդեն հաստատված արդյունաբերական մեխանիզմը ներքին DSCP նշումները արտաքին GRE/IPSEC փաթեթի վերնագիր փոխանցելու համար, ինչը թույլ է տալիս համաժամացնել կազմակերպության և հեռահաղորդակցության օպերատորի QoS քաղաքականությունը (եթե կա համապատասխան SLA): .

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Ինչպե՞ս են տարբերվում SD-WAN-ը և DMVPN/PfR-ի վերջնական չափումները:

DMVPN/PfR

  • Ե՛վ ակտիվ, և՛ պասիվ ծրագրային ապահովման սենսորները (Probes) օգտագործվում են թունելի առողջության ստանդարտ չափորոշիչները գնահատելու համար: Ակտիվները հիմնված են օգտագործողների տրաֆիկի վրա, պասիվները նմանակում են նման տրաֆիկը (դրա բացակայության դեպքում):
  • Չկա ժամանակաչափերի ճշգրտում և դեգրադացիայի հայտնաբերման պայմաններ. ալգորիթմը ամրագրված է:
  • Բացի այդ, հասանելի է օգտագործված թողունակության չափումը ելքային ուղղությամբ: Ինչն ավելացնում է երթևեկության կառավարման լրացուցիչ ճկունություն DMVPN/PfR-ին:
  • Միևնույն ժամանակ, որոշ PfR մեխանիզմներ, երբ չափումները գերազանցում են, հիմնվում են հետադարձ ազդանշանների վրա՝ հատուկ TCA (Threshold Crossing Alert) հաղորդագրությունների տեսքով, որոնք պետք է գան տրաֆիկի ստացողից դեպի աղբյուրը, որն իր հերթին ենթադրում է, որ վիճակը չափված ալիքները պետք է առնվազն բավարար լինեն նման TCA հաղորդագրությունների փոխանցման համար: Ինչը շատ դեպքերում խնդիր չէ, բայց ակնհայտորեն չի կարող երաշխավորվել:

SD WAN

  • Ստանդարտ թունելի վիճակի չափումների վերջնական գնահատման համար BFD արձանագրությունն օգտագործվում է էխոյի ռեժիմում: Այս դեպքում հատուկ հետադարձ կապ TCA-ի կամ նմանատիպ հաղորդագրությունների տեսքով չի պահանջվում. պահպանվում է ձախողման տիրույթների մեկուսացումը: Այն նաև չի պահանջում օգտատերերի տրաֆիկի առկայությունը՝ թունելի վիճակը գնահատելու համար:
  • Հնարավոր է մանրակրկիտ կարգավորել BFD ժմչփերը՝ կարգավորելու ալգորիթմի արձագանքման արագությունը և զգայունությունը կապի ալիքի դեգրադացմանը՝ մի քանի վայրկյանից մինչև րոպե:

    Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

  • Գրելու պահին յուրաքանչյուր թունելում կա միայն մեկ BFD նիստ: Սա պոտենցիալ ստեղծում է թունելի վիճակի վերլուծության ավելի քիչ հատիկավորում: Իրականում, սա կարող է սահմանափակում դառնալ միայն այն դեպքում, եթե դուք օգտագործում եք WAN կապ՝ հիմնված MPLS L2/L3 VPN-ի վրա՝ համաձայնեցված QoS SLA-ով, եթե BFD տրաֆիկի DSCP նշումը (IPSec/GRE-ում ընդգրկվելուց հետո) համընկնում է բարձր առաջնահերթության հերթի հետ։ հեռահաղորդակցության օպերատորի ցանցը, ապա դա կարող է ազդել ցածր առաջնահերթության երթևեկության քայքայման հայտնաբերման ճշգրտության և արագության վրա: Միևնույն ժամանակ, հնարավոր է փոխել լռելյայն BFD պիտակավորումը՝ նման իրավիճակների ռիսկը նվազեցնելու համար: Cisco SD-WAN ծրագրաշարի ապագա տարբերակներում ակնկալվում է ավելի լավ ճշգրտված BFD կարգավորումներ, ինչպես նաև նույն թունելում մի քանի BFD նիստեր գործարկելու հնարավորություն՝ անհատական ​​DSCP արժեքներով (տարբեր հավելվածների համար):
  • BFD-ն լրացուցիչ թույլ է տալիս գնահատել փաթեթի առավելագույն չափը, որը կարող է փոխանցվել որոշակի թունելի միջոցով առանց մասնատման: Սա թույլ է տալիս SD-WAN-ին դինամիկ կերպով կարգավորել այնպիսի պարամետրեր, ինչպիսիք են MTU-ն և TCP MSS Adjust-ը՝ յուրաքանչյուր հղման հասանելի թողունակությունից առավելագույնս օգտագործելու համար:
  • SD-WAN-ում հասանելի է նաև հեռահաղորդակցության օպերատորներից QoS համաժամացման տարբերակը՝ ոչ միայն հիմնված L3 DSCP դաշտերի, այլ նաև L2 CoS արժեքների վրա, որոնք կարող են ավտոմատ կերպով ստեղծվել մասնաճյուղային ցանցում մասնագիտացված սարքերի միջոցով, օրինակ՝ IP: հեռախոսներ

Ինչպե՞ս են տարբերվում AppQ քաղաքականության սահմանման և կիրառման հնարավորությունները, մեթոդները:

DMVPN/PfR քաղաքականություն.

  • Սահմանված է կենտրոնական ճյուղի երթուղիչ(ներ)ում CLI հրամանի տողի կամ CLI կազմաձևման ձևանմուշների միջոցով: CLI ձևանմուշների ստեղծումը պահանջում է քաղաքականության շարահյուսության նախապատրաստում և իմացություն:

    Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

  • Սահմանված է գլոբալ առանց անհատական ​​կոնֆիգուրացիայի/փոխելու հնարավորության ցանցի առանձին հատվածների պահանջներին:
  • Ինտերակտիվ քաղաքականության ստեղծումը նախատեսված չէ գրաֆիկական միջերեսում:
  • Փոփոխություններին հետևելը, ժառանգությունը և արագ փոխարկման քաղաքականության բազմաթիվ տարբերակների ստեղծումը չեն տրամադրվում:
  • Ավտոմատ բաշխվում է հեռավոր ճյուղերի երթուղիչներին: Այս դեպքում օգտագործվում են նույն հաղորդակցման ուղիները, ինչ օգտագործողի տվյալները փոխանցելու համար: Եթե ​​չկա կապի ալիք կենտրոնական և հեռավոր մասնաճյուղի միջև, քաղաքականության բաշխումը/փոփոխությունն անհնար է:
  • Դրանք օգտագործվում են յուրաքանչյուր երթուղիչի վրա և, անհրաժեշտության դեպքում, փոփոխում են ստանդարտ երթուղային արձանագրությունների արդյունքը՝ ունենալով ավելի բարձր առաջնահերթություն։
  • Այն դեպքերում, երբ բոլոր ճյուղային WAN հղումները զգալի երթևեկության կորուստ ունեն, փոխհատուցման մեխանիզմներ նախատեսված չեն.

SD-WAN քաղաքականություն.

  • Սահմանված է vManage GUI-ում ինտերակտիվ կաղապարի հրաշագործի միջոցով:
  • Աջակցում է բազմաթիվ քաղաքականությունների ստեղծմանը, պատճենմանը, ժառանգմանը, քաղաքականության միջև իրական ժամանակում անցմանը:
  • Աջակցում է քաղաքականության անհատական ​​կարգավորումները ցանցի տարբեր հատվածների (մասնաճյուղերի) համար
  • Դրանք բաշխվում են կարգավորիչի և երթուղիչի և/կամ vSmart-ի միջև ցանկացած հասանելի ազդանշանային ալիքի միջոցով. ուղղակիորեն կախված չեն երթուղիչների միջև տվյալների հարթության միացումից: Սա, իհարկե, պահանջում է IP միացում հենց երթուղիչի և կարգավորիչների միջև:

    Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

  • Այն դեպքերում, երբ մասնաճյուղի բոլոր հասանելի մասնաճյուղերը ունենում են տվյալների զգալի կորուստներ, որոնք գերազանցում են կրիտիկական ծրագրերի համար ընդունելի շեմերը, հնարավոր է օգտագործել լրացուցիչ մեխանիզմներ, որոնք մեծացնում են փոխանցման հուսալիությունը.
    • FEC (առաջադեմ սխալի ուղղում) – օգտագործում է հատուկ ավելորդ կոդավորման ալգորիթմ: Կորուստների զգալի տոկոս ունեցող ալիքների վրա կրիտիկական տրաֆիկ փոխանցելիս FEC-ը կարող է ավտոմատ կերպով ակտիվացվել և անհրաժեշտության դեպքում թույլ է տալիս վերականգնել տվյալների կորցրած մասը: Սա մի փոքր մեծացնում է օգտագործվող փոխանցման թողունակությունը, բայց զգալիորեն բարելավում է հուսալիությունը:

      Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

    • Տվյալների հոսքերի կրկնօրինակում – Ի լրումն FEC-ի, քաղաքականությունը կարող է նախատեսել ընտրված հավելվածների տրաֆիկի ավտոմատ կրկնօրինակում՝ կորուստների էլ ավելի լուրջ մակարդակի դեպքում, որը չի կարող փոխհատուցվել FEC-ի կողմից: Այս դեպքում ընտրված տվյալները կփոխանցվեն բոլոր թունելներով դեպի ընդունող ճյուղ՝ հետագա կրկնօրինակմամբ (փաթեթների հավելյալ պատճենները թողնելով): Մեխանիզմը զգալիորեն մեծացնում է ալիքների օգտագործումը, բայց նաև զգալիորեն մեծացնում է փոխանցման հուսալիությունը:

Cisco SD-WAN հնարավորություններ՝ առանց ուղղակի անալոգների DMVPN/PfR-ում

Cisco SD-WAN լուծման ճարտարապետությունը որոշ դեպքերում թույլ է տալիս ձեռք բերել այնպիսի հնարավորություններ, որոնք կա՛մ չափազանց դժվար է իրականացնել DMVPN/PfR-ի շրջանակներում, կա՛մ անիրագործելի են՝ պահանջվող աշխատուժի ծախսերի պատճառով, կա՛մ լիովին անհնարին են: Դիտարկենք դրանցից ամենահետաքրքիրները.

Երթևեկության ճարտարագիտություն (TE)

TE-ն ներառում է մեխանիզմներ, որոնք թույլ են տալիս տրաֆիկին ճյուղավորել ստանդարտ ուղուց, որը ձևավորվել է երթուղային արձանագրությունների միջոցով: TE-ն հաճախ օգտագործվում է ցանցային ծառայությունների բարձր հասանելիություն ապահովելու համար՝ կրիտիկական տրաֆիկը արագ և/կամ ակտիվորեն փոխանցելու այլընտրանքային (անջատված) փոխանցման ուղի, որպեսզի ապահովի ծառայության ավելի լավ որակ կամ վերականգնման արագություն ձախողման դեպքում: հիմնական ճանապարհին.

TE-ի իրականացման դժվարությունը կայանում է նրանում, որ անհրաժեշտ է նախապես հաշվարկել և ապահովել (ստուգել) այլընտրանքային ուղի: Հեռահաղորդակցության օպերատորների MPLS ցանցերում այս խնդիրը լուծվում է տեխնոլոգիաների միջոցով, ինչպիսիք են MPLS Traffic-Engineering-ը IGP արձանագրությունների և RSVP արձանագրությունների ընդարձակմամբ: Նաև վերջերս, Segment Routing տեխնոլոգիան, որն ավելի օպտիմիզացված է կենտրոնացված կազմաձևման և նվագախմբի համար, ավելի ու ավելի տարածված է դարձել: Դասական WAN ցանցերում այս տեխնոլոգիաները սովորաբար ներկայացված չեն կամ կրճատվում են հոփ առ հոփ մեխանիզմների կիրառմամբ, ինչպիսիք են Policy-Based Routing (PBR), որոնք ունակ են ճյուղավորել երթևեկությունը, բայց դա իրականացվում է յուրաքանչյուր երթուղիչի վրա առանձին՝ առանց վերցնելու: հաշվի առնելով ցանցի ընդհանուր վիճակը կամ PBR արդյունքը նախորդ կամ հաջորդ քայլերում: Այս TE տարբերակների օգտագործման արդյունքը հիասթափեցնող է. MPLS TE-ն, կազմաձևման և շահագործման բարդության պատճառով, օգտագործվում է, որպես կանոն, միայն ցանցի ամենակարևոր մասում (միջուկ), իսկ PBR-ն օգտագործվում է առանձին երթուղիչների վրա՝ առանց ամբողջ ցանցի համար միասնական PBR քաղաքականություն ստեղծելու ունակություն: Ակնհայտ է, որ դա վերաբերում է նաև DMVPN-ի վրա հիմնված ցանցերին:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

SD-WAN-ն այս առումով առաջարկում է շատ ավելի էլեգանտ լուծում, որը ոչ միայն հեշտ է կարգավորել, այլև շատ ավելի լավ է չափվում: Սա կիրառված կառավարման հարթության և քաղաքականության հարթության ճարտարապետության արդյունք է: SD-WAN-ում քաղաքականության պլանի ներդրումը թույլ է տալիս կենտրոնական կերպով սահմանել TE քաղաքականությունը. ո՞ր երթևեկությունն է հետաքրքրում: ո՞ր VPN-ների համար? Ո՞ր հանգույցներով/թունելներով է անհրաժեշտ կամ հակառակը` արգելվում է այլընտրանքային երթուղի ձևավորել: Իր հերթին, vSmart կարգավորիչների վրա հիմնված կառավարման պլանի կառավարման կենտրոնացումը թույլ է տալիս փոփոխել երթուղիների արդյունքները՝ առանց առանձին սարքերի պարամետրերին դիմելու. երթուղիչները արդեն տեսնում են միայն այն տրամաբանության արդյունքը, որը ստեղծվել է vManage ինտերֆեյսում և փոխանցվել է օգտագործման համար։ vSmart.

Ծառայությունների շղթայականացում

Սպասարկման շղթաների ձևավորումը նույնիսկ ավելի աշխատատար խնդիր է դասական երթուղիներում, քան արդեն նկարագրված Ճանապարհային ինժեներական մեխանիզմը: Իրոք, այս դեպքում անհրաժեշտ է ոչ միայն հատուկ երթուղի ստեղծել կոնկրետ ցանցային հավելվածի համար, այլ նաև ապահովել SD-WAN ցանցի որոշակի (կամ բոլոր) հանգույցների վրա երթևեկությունը ցանցից հեռացնելու հնարավորությունը` մշակելու համար: հատուկ հավելված կամ ծառայություն (Firewall, Balancing, Caching, Inspection Traffic և այլն): Միևնույն ժամանակ, անհրաժեշտ է, որպեսզի կարողանանք վերահսկել այդ արտաքին ծառայությունների վիճակը՝ սև խոռոչի իրավիճակները կանխելու համար, և անհրաժեշտ են նաև մեխանիզմներ, որոնք թույլ կտան նույն տեսակի արտաքին ծառայություններ տեղադրել տարբեր աշխարհագրական դիրքերում։ ցանցի կարողությամբ ավտոմատ կերպով ընտրելու առավել օպտիմալ սպասարկման հանգույցը որոշակի մասնաճյուղի տրաֆիկի մշակման համար: Cisco SD-WAN-ի դեպքում դա բավականին հեշտ է հասնել՝ ստեղծելով համապատասխան կենտրոնացված քաղաքականություն, որը «սոսնձում է» թիրախային սպասարկման շղթայի բոլոր ասպեկտները մեկ ամբողջության մեջ և ավտոմատ կերպով փոխում է տվյալների հարթության և կառավարման հարթության տրամաբանությունը միայն այնտեղ, որտեղ: և երբ անհրաժեշտ է:

Cisco SD-WAN-ը կկտրի՞ այն ճյուղը, որի վրա նստած է DMVPN-ը:

Մասնագիտացված (բայց ոչ բուն SD-WAN ցանցի հետ կապված) սարքավորումների վրա ընտրված տիպի հավելվածների տրաֆիկի աշխարհաբաշխված մշակում ստեղծելու ունակությունը որոշակի հաջորդականությամբ Cisco SD-WAN-ի առավելությունների ամենավառ ցուցադրությունն է դասականի նկատմամբ: տեխնոլոգիաներ և նույնիսկ որոշ այլընտրանքային SD լուծումներ՝ այլ արտադրողների WAN:

Արդյունքը:

Ակնհայտորեն, և՛ DMVPN-ը (կատարողական երթուղղմամբ կամ առանց դրա), և՛ Cisco SD-WAN-ը վերջում լուծել շատ նմանատիպ խնդիրներ կազմակերպության բաշխված WAN ցանցի հետ կապված: Միևնույն ժամանակ, Cisco SD-WAN տեխնոլոգիայի զգալի ճարտարապետական ​​և ֆունկցիոնալ տարբերությունները հանգեցնում են այս խնդիրների լուծման գործընթացին. մեկ այլ որակի մակարդակի. Ամփոփելու համար մենք կարող ենք նշել հետևյալ էական տարբերությունները SD-WAN և DMVPN/PfR տեխնոլոգիաների միջև.

  • DMVPN/PfR-ն ընդհանուր առմամբ օգտագործում է ժամանակի փորձարկված տեխնոլոգիաներ՝ ծածկված VPN ցանցեր կառուցելու համար և տվյալների հարթության առումով նման են ավելի ժամանակակից SD-WAN տեխնոլոգիային, այնուամենայնիվ, կան մի շարք սահմանափակումներ՝ պարտադիր ստատիկ կազմաձևման տեսքով: երթուղիչների և տոպոլոգիաների ընտրությունը սահմանափակվում է Hub-n-Spoke-ով: Մյուս կողմից, DMVPN/PfR-ն ունի որոշ գործառույթներ, որոնք դեռ հասանելի չեն SD-WAN-ի շրջանակներում (խոսքը յուրաքանչյուր հավելվածի BFD-ի մասին է):
  • Կառավարման հարթությունում տեխնոլոգիաները սկզբունքորեն տարբերվում են։ Հաշվի առնելով ազդանշանային արձանագրությունների կենտրոնացված մշակումը, SD-WAN-ը թույլ է տալիս, մասնավորապես, զգալիորեն նեղացնել ձախողման տիրույթները և «անջատել» օգտատերերի երթևեկի փոխանցման գործընթացը ազդանշանային փոխազդեցությունից. կարգավորիչների ժամանակավոր անհասանելիությունը չի ազդում օգտատերերի տրաֆիկի փոխանցման ունակության վրա . Միևնույն ժամանակ, որևէ մասնաճյուղի (ներառյալ կենտրոնականի) ժամանակավոր անհասանելիությունը որևէ կերպ չի ազդում այլ մասնաճյուղերի՝ միմյանց և վերահսկիչների հետ փոխգործակցության ունակության վրա։
  • SD-WAN-ի դեպքում երթևեկության կառավարման քաղաքականության ձևավորման և կիրառման ճարտարապետությունը նույնպես գերազանցում է DMVPN/PfR-ի կառուցվածքը. աշխարհագրական ամրագրումը շատ ավելի լավ է իրականացվում, հանգույցի հետ կապ չկա, տուգանքի ավելի շատ հնարավորություններ կան: - թյունինգ քաղաքականություն, իրականացված երթևեկության կառավարման սցենարների ցանկը նույնպես շատ ավելի մեծ է:
  • Լուծումների նվագախմբավորման գործընթացը նույնպես զգալիորեն տարբերվում է. DMVPN-ն ենթադրում է նախկինում հայտնի պարամետրերի առկայությունը, որոնք պետք է ինչ-որ կերպ արտացոլվեն կազմաձևում, ինչը որոշակիորեն սահմանափակում է լուծման ճկունությունը և դինամիկ փոփոխությունների հնարավորությունը: Իր հերթին, SD-WAN-ը հիմնված է այն պարադիգմայի վրա, որ միացման սկզբնական պահին երթուղիչը «ոչինչ չգիտի» իր կարգավորիչների մասին, բայց գիտի, թե «ում կարող ես հարցնել», սա բավարար է ոչ միայն ինքնաբերաբար հաղորդակցություն հաստատելու համար: կարգավորիչները, այլ նաև ավտոմատ կերպով ձևավորելու լիովին միացված տվյալների հարթության տոպոլոգիա, որն այնուհետև կարող է ճկուն կերպով կազմաձևվել/փոփոխվել՝ օգտագործելով քաղաքականությունը:
  • Կենտրոնացված կառավարման, ավտոմատացման և մոնիտորինգի առումով SD-WAN-ը կգերազանցի DMVPN/PfR-ի հնարավորությունները, որոնք առաջացել են դասական տեխնոլոգիաներից և ավելի շատ հիմնված են CLI հրամանի տողի վրա և կաղապարների վրա հիմնված NMS համակարգերի օգտագործման վրա:
  • SD-WAN-ում, համեմատած DMVPN-ի հետ, անվտանգության պահանջները հասել են այլ որակական մակարդակի: Հիմնական սկզբունքներն են զրոյական վստահությունը, մասշտաբայնությունը և երկու գործոնով իսկությունը:

Այս պարզ եզրակացությունները կարող են սխալ տպավորություն ստեղծել, որ DMVPN/PfR-ի վրա հիմնված ցանց ստեղծելն այսօր կորցրել է իր արդիականությունը: Սա, իհարկե, լիովին ճիշտ չէ: Օրինակ, այն դեպքերում, երբ ցանցն օգտագործում է շատ հնացած սարքավորումներ, և այն փոխարինելու միջոց չկա, DMVPN-ն թույլ է տալիս միավորել «հին» և «նոր» սարքերը մեկ աշխարհաբաշխված ցանցում՝ նկարագրված բազմաթիվ առավելություններով։ վերևում:

Մյուս կողմից, հարկ է հիշել, որ Cisco-ի բոլոր ներկայիս կորպորատիվ երթուղիչները, որոնք հիմնված են IOS XE-ի վրա (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) այսօր աջակցում են ցանկացած գործառնական ռեժիմի՝ և՛ դասական երթուղի, և՛ DMVPN և SD-WAN: ընտրությունը որոշվում է ընթացիկ կարիքներով և այն գիտակցությամբ, որ ցանկացած պահի, օգտագործելով նույն սարքավորումները, կարող եք սկսել շարժվել դեպի ավելի առաջադեմ տեխնոլոգիա:

Source: www.habr.com

Добавить комментарий