ProHoster > blog > administrasi > Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Sejak Agustus 2017, ketika Cisco mengakuisisi Viptela, teknologi utama yang ditawarkan untuk mengatur jaringan perusahaan terdistribusi telah menjadi Cisco SD-WAN. Selama 3 tahun terakhir, teknologi SD-WAN telah mengalami banyak perubahan, baik kualitatif maupun kuantitatif. Dengan demikian, fungsinya telah berkembang secara signifikan dan dukungan telah muncul pada router klasik seri ini Cisco ISR 1000, ISR 4000, ASR 1000 dan Virtual CSR 1000v. Pada saat yang sama, banyak pelanggan dan mitra Cisco yang terus bertanya-tanya: apa perbedaan antara Cisco SD-WAN dan pendekatan yang sudah dikenal berdasarkan teknologi seperti Cisco DMVPN и Perutean Kinerja Cisco dan seberapa pentingkah perbedaan-perbedaan ini?

Di sini kita harus segera membuat reservasi bahwa sebelum munculnya SD-WAN dalam portofolio Cisco, DMVPN bersama dengan PfR merupakan bagian penting dalam arsitektur. Cisco IWAN (WAN Cerdas), yang merupakan pendahulu dari teknologi SD-WAN yang lengkap. Terlepas dari kesamaan umum antara tugas yang diselesaikan dan metode penyelesaiannya, IWAN tidak pernah menerima tingkat otomatisasi, fleksibilitas, dan skalabilitas yang diperlukan untuk SD-WAN, dan seiring waktu, perkembangan IWAN mengalami penurunan yang signifikan. Pada saat yang sama, teknologi yang membentuk IWAN belum hilang, dan banyak pelanggan yang terus berhasil menggunakannya, termasuk pada peralatan modern. Hasilnya, situasi menarik muncul - peralatan Cisco yang sama memungkinkan Anda memilih teknologi WAN yang paling sesuai (klasik, DMVPN+PfR atau SD-WAN) sesuai dengan kebutuhan dan harapan pelanggan.

Artikel ini tidak bermaksud menganalisis secara rinci semua fitur teknologi Cisco SD-WAN dan DMVPN (dengan atau tanpa Perutean Kinerja) - ada banyak sekali dokumen dan materi yang tersedia untuk ini. Tugas utamanya adalah mencoba mengevaluasi perbedaan utama antara teknologi-teknologi ini. Namun sebelum melanjutkan ke pembahasan perbedaan-perbedaan ini, mari kita mengingat kembali secara singkat teknologi itu sendiri.

Apa itu Cisco DMVPN dan mengapa diperlukan?

Cisco DMVPN memecahkan masalah koneksi dinamis (= terukur) dari jaringan cabang jarak jauh ke jaringan kantor pusat suatu perusahaan ketika menggunakan jenis saluran komunikasi apa pun, termasuk Internet (= dengan enkripsi saluran komunikasi). Secara teknis, hal ini diwujudkan dengan membuat jaringan overlay tervirtualisasi kelas L3 VPN dalam mode point-to-multipoint dengan topologi logis tipe “Star” (Hub-n-Spoke). Untuk mencapai hal ini, DMVPN menggunakan kombinasi teknologi berikut:

  • Perutean IP
  • Terowongan GRE multititik (mGRE)
  • Protokol Resolusi Hop Berikutnya (NHRP)
  • Profil Kripto IPSec

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Apa keunggulan utama Cisco DMVPN dibandingkan perutean klasik menggunakan saluran MPLS VPN?

  • Untuk membuat jaringan antar cabang, dimungkinkan untuk menggunakan saluran komunikasi apa pun - saluran apa pun yang dapat menyediakan konektivitas IP antar cabang cocok, sedangkan lalu lintas akan dienkripsi (jika perlu) dan seimbang (jika memungkinkan)
  • Topologi yang terhubung penuh antar cabang secara otomatis terbentuk. Pada saat yang sama, terdapat terowongan statis antara cabang pusat dan cabang jarak jauh, dan terowongan dinamis berdasarkan permintaan antara cabang jarak jauh (jika ada lalu lintas)
  • Router cabang pusat dan jarak jauh memiliki konfigurasi yang sama hingga alamat IP antarmuka. Dengan menggunakan mGRE, tidak perlu mengkonfigurasi puluhan, ratusan, atau bahkan ribuan terowongan satu per satu. Hasilnya, skalabilitas yang layak dengan desain yang tepat.

Apa itu Cisco Performance Routing dan mengapa diperlukan?

Saat menggunakan DMVPN di jaringan antar cabang, satu pertanyaan yang sangat penting masih belum terselesaikan - bagaimana menilai secara dinamis status masing-masing terowongan DMVPN untuk memenuhi persyaratan lalu lintas yang penting bagi organisasi kami dan, sekali lagi, berdasarkan penilaian tersebut, secara dinamis membuat keputusan untuk mengubah rute? Faktanya adalah bahwa DMVPN di bagian ini sedikit berbeda dari perutean klasik - hal terbaik yang dapat dilakukan adalah mengonfigurasi mekanisme QoS yang memungkinkan Anda memprioritaskan lalu lintas ke arah keluar, tetapi sama sekali tidak mampu memperhitungkan keadaan seluruh jalur pada satu waktu atau lainnya.

Dan apa yang harus dilakukan jika saluran mengalami penurunan sebagian dan tidak seluruhnya - bagaimana cara mendeteksi dan mengevaluasinya? DMVPN sendiri tidak dapat melakukan hal ini. Mengingat saluran yang menghubungkan cabang dapat melewati operator telekomunikasi yang sangat berbeda, menggunakan teknologi yang sangat berbeda, tugas ini menjadi sangat tidak sepele. Dan di sinilah teknologi Cisco Performance Routing membantu, yang pada saat itu telah melalui beberapa tahap pengembangan.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Tugas Cisco Performance Routing (selanjutnya disebut PfR) adalah mengukur status jalur (terowongan) lalu lintas berdasarkan metrik utama yang penting untuk aplikasi jaringan - latensi, variasi latensi (jitter) dan kehilangan paket (persentase). Selain itu, bandwidth yang digunakan dapat diukur. Pengukuran ini terjadi sedekat mungkin dengan waktu nyata dan dapat dibenarkan, dan hasil pengukuran ini memungkinkan router yang menggunakan PfR untuk secara dinamis membuat keputusan tentang perlunya mengubah perutean jenis lalu lintas tertentu.

Dengan demikian, tugas kombinasi DMVPN/PfR dapat dijelaskan secara singkat sebagai berikut:

  • Izinkan pelanggan untuk menggunakan saluran komunikasi apa pun di jaringan WAN
  • Pastikan kualitas tertinggi dari aplikasi penting pada saluran ini

Apa itu Cisco SD-WAN?

Cisco SD-WAN adalah teknologi yang menggunakan pendekatan SDN untuk membuat dan mengoperasikan jaringan WAN organisasi. Hal ini khususnya berarti penggunaan apa yang disebut pengontrol (elemen perangkat lunak), yang menyediakan orkestrasi terpusat dan konfigurasi otomatis semua komponen solusi. Berbeda dengan SDN kanonik (gaya Clean Slate), Cisco SD-WAN menggunakan beberapa jenis pengontrol, yang masing-masing menjalankan perannya sendiri - hal ini dilakukan dengan sengaja untuk memberikan skalabilitas dan redundansi geografis yang lebih baik.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Dalam kasus SD-WAN, tugas menggunakan semua jenis saluran dan memastikan pengoperasian aplikasi bisnis tetap sama, tetapi pada saat yang sama, persyaratan untuk otomatisasi, skalabilitas, keamanan, dan fleksibilitas jaringan tersebut semakin meningkat.

Diskusi perbedaan

Jika sekarang kita mulai menganalisis perbedaan antara teknologi-teknologi ini, maka teknologi tersebut akan masuk ke dalam salah satu kategori berikut:

  • Perbedaan arsitektural - bagaimana fungsi didistribusikan ke berbagai komponen solusi, bagaimana interaksi komponen-komponen tersebut diatur, dan bagaimana hal ini memengaruhi kemampuan dan fleksibilitas teknologi?
  • Fungsionalitas – apa yang dapat dilakukan oleh suatu teknologi yang tidak dapat dilakukan oleh teknologi lain? Dan apakah itu penting?

Apa perbedaan arsitekturnya dan apakah itu penting?

Masing-masing teknologi ini memiliki banyak “bagian yang bergerak” yang berbeda tidak hanya dalam perannya, namun juga dalam cara mereka berinteraksi satu sama lain. Seberapa baik prinsip-prinsip ini dipikirkan dan mekanisme umum solusi secara langsung menentukan skalabilitas, toleransi kesalahan, dan efisiensi secara keseluruhan.

Mari kita lihat berbagai aspek arsitektur secara lebih rinci:

Bidang data – bagian dari solusi yang bertanggung jawab untuk mentransmisikan lalu lintas pengguna antara sumber dan penerima. DMVPN dan SD-WAN umumnya diimplementasikan secara identik pada router itu sendiri berdasarkan terowongan Multipoint GRE. Perbedaannya adalah bagaimana kumpulan parameter yang diperlukan untuk terowongan ini terbentuk:

  • в DMVPN/PfR adalah hierarki node dua tingkat eksklusif dengan topologi Star atau Hub-n-Spoke. Konfigurasi statis Hub dan pengikatan statis Spoke ke Hub diperlukan, serta interaksi melalui protokol NHRP untuk membentuk konektivitas bidang data. Akibatnya, membuat perubahan pada Hub menjadi jauh lebih sulitterkait, misalnya, mengubah/menghubungkan saluran WAN baru atau mengubah parameter saluran yang sudah ada.
  • в SD-WAN adalah model yang sepenuhnya dinamis untuk mendeteksi parameter terowongan yang dipasang berdasarkan bidang kontrol (protokol OMP) dan bidang orkestrasi (interaksi dengan pengontrol vBond untuk deteksi pengontrol dan tugas traversal NAT). Dalam hal ini, topologi apa pun yang ditumpangkan dapat digunakan, termasuk topologi hierarki. Dalam topologi terowongan overlay yang sudah ada, konfigurasi topologi logis yang fleksibel di setiap VPN (VRF) dimungkinkan.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Pesawat kendali – fungsi pertukaran, penyaringan dan modifikasi perutean dan informasi lainnya antar komponen solusi.

  • в DMVPN/PfR – hanya dilakukan antara router Hub dan Spoke. Pertukaran langsung informasi perutean antar Jari-jari tidak dimungkinkan. Akibatnya, Tanpa Hub yang berfungsi, bidang kontrol dan bidang data tidak dapat berfungsi, yang memberlakukan persyaratan ketersediaan tinggi tambahan pada Hub yang tidak selalu dapat dipenuhi.
  • в SD-WAN – bidang kontrol tidak pernah dilakukan secara langsung antar router – interaksi terjadi berdasarkan protokol OMP dan harus dilakukan melalui jenis pengontrol vSmart khusus yang terpisah, yang memberikan kemungkinan penyeimbangan, reservasi geografis, dan kontrol terpusat dari router beban sinyal. Fitur lain dari protokol OMP adalah ketahanannya yang signifikan terhadap kerugian dan independensi dari kecepatan saluran komunikasi dengan pengontrol (tentu saja dalam batas yang wajar). Yang juga berhasil memungkinkan Anda menempatkan pengontrol SD-WAN di cloud publik atau pribadi dengan akses melalui Internet.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Bidang kebijakan – bagian dari solusi yang bertanggung jawab untuk mendefinisikan, mendistribusikan, dan menerapkan kebijakan manajemen lalu lintas pada jaringan terdistribusi.

  • DMVPN – secara efektif dibatasi oleh kebijakan kualitas layanan (QoS) yang dikonfigurasi secara individual pada setiap router melalui templat CLI atau Prime Infrastructure.
  • DMVPN/PfR – Kebijakan PfR dibentuk pada router Master Controller (MC) terpusat melalui CLI dan kemudian secara otomatis didistribusikan ke MC cabang. Dalam hal ini, jalur transfer kebijakan yang sama digunakan seperti pada bidang data. Tidak ada kemungkinan untuk memisahkan pertukaran kebijakan, informasi routing dan data pengguna. Penyebaran kebijakan memerlukan adanya konektivitas IP antara Hub dan Spoke. Dalam hal ini, fungsi MC dapat, jika perlu, digabungkan dengan router DMVPN. Dimungkinkan (tetapi tidak wajib) untuk menggunakan template Prime Infrastructure untuk pembuatan kebijakan terpusat. Fitur penting adalah bahwa kebijakan tersebut dibentuk secara global di seluruh jaringan dengan cara yang sama - Kebijakan individual untuk masing-masing segmen tidak didukung.
  • SD-WAN – manajemen lalu lintas dan kebijakan kualitas layanan ditentukan secara terpusat melalui antarmuka grafis Cisco vManage, dapat diakses juga melalui Internet (jika diperlukan). Mereka didistribusikan melalui saluran sinyal secara langsung atau tidak langsung melalui pengontrol vSmart (tergantung pada jenis kebijakannya). Mereka tidak bergantung pada konektivitas data plane antar router, karena gunakan semua jalur lalu lintas yang tersedia antara pengontrol dan router.

    Untuk segmen jaringan yang berbeda, dimungkinkan untuk secara fleksibel merumuskan kebijakan yang berbeda - cakupan kebijakan ditentukan oleh banyak pengidentifikasi unik yang disediakan dalam solusi - nomor cabang, jenis aplikasi, arah lalu lintas, dll.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Pesawat orkestrasi – mekanisme yang memungkinkan komponen untuk secara dinamis mendeteksi satu sama lain, mengkonfigurasi dan mengoordinasikan interaksi selanjutnya.

  • в DMVPN/PfR Penemuan timbal balik antar router didasarkan pada konfigurasi statis perangkat Hub dan konfigurasi perangkat Spoke yang sesuai. Penemuan dinamis hanya terjadi untuk Spoke, yang melaporkan parameter koneksi Hub ke perangkat, yang kemudian dikonfigurasi sebelumnya dengan Spoke. Tanpa konektivitas IP antara Spoke dan setidaknya satu Hub, mustahil untuk membentuk bidang data atau bidang kendali.
  • в SD-WAN orkestrasi komponen solusi terjadi menggunakan pengontrol vBond, yang mana setiap komponen (router dan pengontrol vManage/vSmart) harus terlebih dahulu membangun konektivitas IP.

    Awalnya, komponen tidak mengetahui parameter koneksi satu sama lain - untuk ini mereka memerlukan orkestrator perantara vBond. Prinsip umumnya adalah sebagai berikut - setiap komponen pada tahap awal mempelajari (secara otomatis atau statis) hanya tentang parameter koneksi ke vBond, kemudian vBond memberi tahu router tentang pengontrol vManage dan vSmart (ditemukan sebelumnya), yang memungkinkan untuk membuat secara otomatis semua koneksi sinyal yang diperlukan.

    Langkah selanjutnya adalah router baru mempelajari router lain di jaringan melalui komunikasi OMP dengan pengontrol vSmart. Dengan demikian, router, tanpa terlebih dahulu mengetahui apa pun tentang parameter jaringan, dapat mendeteksi dan terhubung ke pengontrol secara otomatis dan kemudian juga secara otomatis mendeteksi dan membentuk konektivitas dengan router lain. Dalam hal ini, parameter koneksi semua komponen pada awalnya tidak diketahui dan dapat berubah selama pengoperasian.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Bidang manajemen – bagian dari solusi yang menyediakan manajemen dan pemantauan terpusat.

  • DMVPN/PfR – tidak ada solusi bidang manajemen khusus yang disediakan. Untuk otomatisasi dan pemantauan dasar, produk seperti Cisco Prime Infrastructure dapat digunakan. Setiap router memiliki kemampuan untuk dikontrol melalui baris perintah CLI. Integrasi dengan sistem eksternal melalui API tidak disediakan.
  • SD-WAN – semua interaksi dan pemantauan rutin dilakukan secara terpusat melalui antarmuka grafis pengontrol vManage. Semua fitur solusi, tanpa kecuali, tersedia untuk konfigurasi melalui vManage, serta melalui pustaka REST API yang terdokumentasi sepenuhnya.

    Semua pengaturan jaringan SD-WAN di vManage terbagi menjadi dua konstruksi utama - pembentukan templat perangkat (Device Template) dan pembentukan kebijakan yang menentukan logika operasi jaringan dan pemrosesan lalu lintas. Pada saat yang sama, vManage, menyiarkan kebijakan yang dihasilkan oleh administrator, secara otomatis memilih perubahan mana dan pada perangkat/pengontrol mana yang perlu dilakukan, yang secara signifikan meningkatkan efisiensi dan skalabilitas solusi.

    Melalui antarmuka vManage, tidak hanya konfigurasi solusi Cisco SD-WAN yang tersedia, tetapi juga pemantauan penuh terhadap status semua komponen solusi, hingga status metrik saat ini untuk masing-masing terowongan dan statistik penggunaan berbagai aplikasi. berdasarkan analisis DPI.

    Meskipun interaksi terpusat, semua komponen (pengontrol dan router) juga memiliki baris perintah CLI yang berfungsi penuh, yang diperlukan pada tahap implementasi atau dalam keadaan darurat untuk diagnostik lokal. Dalam mode normal (jika ada saluran sinyal antar komponen) pada router, baris perintah hanya tersedia untuk diagnostik dan tidak tersedia untuk membuat perubahan lokal, yang menjamin keamanan lokal dan satu-satunya sumber perubahan dalam jaringan tersebut adalah vManage.

Keamanan Terintegrasi – di sini kita harus berbicara tidak hanya tentang perlindungan data pengguna saat ditransmisikan melalui saluran terbuka, tetapi juga tentang keamanan jaringan WAN secara keseluruhan berdasarkan teknologi yang dipilih.

  • в DMVPN/PfR Dimungkinkan untuk mengenkripsi data pengguna dan protokol pensinyalan. Saat menggunakan model router tertentu, fungsi firewall dengan pemeriksaan lalu lintas, IPS/IDS juga tersedia. Dimungkinkan untuk mensegmentasi jaringan cabang menggunakan VRF. Dimungkinkan untuk mengautentikasi protokol kontrol (satu faktor).

    Dalam hal ini, router jarak jauh dianggap sebagai elemen jaringan yang tepercaya secara default – mis. kasus gangguan fisik pada masing-masing perangkat dan kemungkinan akses tidak sah ke perangkat tersebut tidak diasumsikan atau diperhitungkan; tidak ada otentikasi dua faktor dari komponen solusi, yang dalam kasus jaringan yang terdistribusi secara geografis mungkin membawa risiko tambahan yang signifikan.

  • в SD-WAN dengan analogi dengan DMVPN, kemampuan untuk mengenkripsi data pengguna disediakan, tetapi dengan keamanan jaringan yang diperluas secara signifikan dan fungsi segmentasi L3/VRF (firewall, IPS/IDS, pemfilteran URL, pemfilteran DNS, AMP/TG, SASE, proksi TLS/SSL, dll) d.). Pada saat yang sama, pertukaran kunci enkripsi dilakukan secara lebih efisien melalui pengontrol vSmart (bukan secara langsung), melalui saluran sinyal yang telah ditentukan sebelumnya yang dilindungi oleh enkripsi DTLS/TLS berdasarkan sertifikat keamanan. Yang pada gilirannya menjamin keamanan pertukaran tersebut dan memastikan skalabilitas solusi yang lebih baik hingga puluhan ribu perangkat di jaringan yang sama.

    Semua koneksi sinyal (pengontrol-ke-pengontrol, pengontrol-router) juga dilindungi berdasarkan DTLS/TLS. Router dilengkapi dengan sertifikat keselamatan selama produksi dengan kemungkinan penggantian/perpanjangan. Otentikasi dua faktor dicapai melalui pemenuhan dua kondisi wajib dan simultan agar router/pengontrol berfungsi dalam jaringan SD-WAN:

    • Sertifikat keamanan yang valid
    • Penyertaan secara eksplisit dan sadar oleh administrator setiap komponen dalam daftar “putih” perangkat yang diizinkan.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Perbedaan fungsional antara SD-WAN dan DMVPN/PfR

Beralih ke pembahasan perbedaan fungsional, perlu dicatat bahwa banyak di antaranya merupakan kelanjutan dari perbedaan arsitektural - bukan rahasia lagi bahwa ketika membentuk arsitektur suatu solusi, pengembang memulai dari kemampuan yang ingin mereka dapatkan pada akhirnya. Mari kita lihat perbedaan paling signifikan antara kedua teknologi tersebut.

AppQ (Kualitas Aplikasi) – berfungsi untuk memastikan kualitas transmisi lalu lintas aplikasi bisnis

Fungsi utama dari teknologi yang dipertimbangkan ditujukan untuk meningkatkan pengalaman pengguna sebanyak mungkin saat menggunakan aplikasi penting bisnis dalam jaringan terdistribusi. Hal ini sangat penting terutama dalam kondisi di mana sebagian infrastruktur tidak dikendalikan oleh TI atau bahkan tidak menjamin keberhasilan transfer data.

DMVPN sendiri tidak menyediakan mekanisme seperti itu. Hal terbaik yang dapat dilakukan dalam jaringan DMVPN klasik adalah mengklasifikasikan lalu lintas keluar berdasarkan aplikasi dan memprioritaskannya saat ditransmisikan ke saluran WAN. Pilihan terowongan DMVPN dalam hal ini hanya ditentukan oleh ketersediaannya dan hasil pengoperasian protokol perutean. Pada saat yang sama, keadaan jalur/terowongan ujung ke ujung dan kemungkinan degradasi parsialnya tidak diperhitungkan dalam metrik utama yang signifikan untuk aplikasi jaringan - penundaan, variasi penundaan (jitter) dan kerugian (% ). Dalam hal ini, membandingkan DMVPN klasik dengan SD-WAN secara langsung dalam hal penyelesaian masalah AppQ tidak ada artinya - DMVPN tidak dapat menyelesaikan masalah ini. Ketika Anda menambahkan teknologi Cisco Performance Routing (PfR) ke dalam konteks ini, situasinya berubah dan perbandingan dengan Cisco SD-WAN menjadi lebih bermakna.

Sebelum kita membahas perbedaannya, berikut sekilas kemiripan teknologinya. Jadi, kedua teknologi tersebut:

  • memiliki mekanisme yang memungkinkan Anda menilai secara dinamis status setiap terowongan yang dibuat dalam hal metrik tertentu - minimal penundaan, variasi penundaan, dan kehilangan paket (%)
  • menggunakan seperangkat alat khusus untuk membentuk, mendistribusikan, dan menerapkan aturan (kebijakan) manajemen lalu lintas, dengan mempertimbangkan hasil pengukuran status metrik terowongan utama.
  • mengklasifikasikan lalu lintas aplikasi pada level L3-L4 (DSCP) model OSI atau berdasarkan tanda tangan aplikasi L7 berdasarkan mekanisme DPI yang terpasang di router
  • Untuk aplikasi yang signifikan, mereka memungkinkan Anda menentukan nilai ambang batas yang dapat diterima dari metrik, aturan untuk mentransmisikan lalu lintas secara default, dan aturan untuk mengubah rute lalu lintas ketika nilai ambang batas terlampaui.
  • Saat merangkum lalu lintas di GRE/IPSec, mereka menggunakan mekanisme industri yang sudah ada untuk mentransfer penandaan DSCP internal ke header paket GRE/IPSEC eksternal, yang memungkinkan sinkronisasi kebijakan QoS organisasi dan operator telekomunikasi (jika ada SLA yang sesuai) .

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Apa perbedaan metrik end-to-end SD-WAN dan DMVPN/PfR?

DMVPN/PfR

  • Sensor perangkat lunak aktif dan pasif (Probe) digunakan untuk mengevaluasi metrik kesehatan terowongan standar. Yang aktif didasarkan pada lalu lintas pengguna, yang pasif meniru lalu lintas tersebut (jika tidak ada).
  • Tidak ada penyesuaian pengatur waktu dan kondisi deteksi degradasi - algoritme sudah diperbaiki.
  • Selain itu, pengukuran bandwidth yang digunakan dalam arah keluar juga tersedia. Yang menambahkan fleksibilitas manajemen lalu lintas tambahan ke DMVPN/PfR.
  • Pada saat yang sama, beberapa mekanisme PfR, ketika metrik terlampaui, mengandalkan sinyal umpan balik dalam bentuk pesan TCA (Threshold Crossing Alert) khusus yang harus datang dari penerima lalu lintas ke sumber, yang pada gilirannya mengasumsikan bahwa keadaan lalu lintas saluran yang diukur setidaknya harus cukup untuk transmisi pesan TCA tersebut. Yang dalam banyak kasus tidak menjadi masalah, namun jelas tidak dapat dijamin.

SD-WAN

  • Untuk evaluasi end-to-end metrik keadaan terowongan standar, protokol BFD digunakan dalam mode gema. Dalam hal ini, umpan balik khusus dalam bentuk TCA atau pesan serupa tidak diperlukan - isolasi domain kegagalan tetap dipertahankan. Hal ini juga tidak memerlukan kehadiran lalu lintas pengguna untuk mengevaluasi keadaan terowongan.
  • Dimungkinkan untuk menyempurnakan pengatur waktu BFD untuk mengatur kecepatan respons dan sensitivitas algoritme terhadap degradasi saluran komunikasi dari beberapa detik menjadi menit.

    Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

  • Pada saat penulisan, hanya ada satu sesi BFD di setiap terowongan. Hal ini berpotensi mengurangi granularitas dalam analisis keadaan terowongan. Pada kenyataannya, ini hanya dapat menjadi batasan jika Anda menggunakan koneksi WAN berdasarkan VPN MPLS L2/L3 dengan QoS SLA yang disepakati - jika penandaan DSCP lalu lintas BFD (setelah enkapsulasi dalam IPSec/GRE) cocok dengan antrian prioritas tinggi di jaringan operator telekomunikasi, maka hal ini dapat mempengaruhi keakuratan dan kecepatan deteksi degradasi untuk lalu lintas prioritas rendah. Pada saat yang sama, dimungkinkan untuk mengubah pelabelan BFD default untuk mengurangi risiko situasi seperti itu. Dalam versi perangkat lunak Cisco SD-WAN yang akan datang, diharapkan pengaturan BFD yang lebih baik, serta kemampuan untuk meluncurkan beberapa sesi BFD dalam terowongan yang sama dengan nilai DSCP individual (untuk aplikasi berbeda).
  • BFD juga memungkinkan Anda memperkirakan ukuran paket maksimum yang dapat ditransmisikan melalui terowongan tertentu tanpa fragmentasi. Hal ini memungkinkan SD-WAN untuk secara dinamis menyesuaikan parameter seperti MTU dan TCP MSS Adjust untuk memaksimalkan bandwidth yang tersedia di setiap link.
  • Di SD-WAN, opsi sinkronisasi QoS dari operator telekomunikasi juga tersedia, tidak hanya berdasarkan bidang L3 DSCP, tetapi juga berdasarkan nilai L2 CoS, yang dapat secara otomatis dihasilkan di jaringan cabang oleh perangkat khusus - misalnya, IP telepon

Apa perbedaan kemampuan, metode dalam menentukan dan menerapkan kebijakan AppQ?

Kebijakan DMVPN/PfR:

  • Didefinisikan pada router cabang pusat melalui baris perintah CLI atau templat konfigurasi CLI. Membuat templat CLI memerlukan persiapan dan pengetahuan tentang sintaksis kebijakan.

    Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

  • Didefinisikan secara global tanpa kemungkinan konfigurasi/perubahan individual terhadap kebutuhan segmen jaringan individual.
  • Pembuatan kebijakan interaktif tidak disediakan dalam antarmuka grafis.
  • Pelacakan perubahan, pewarisan, dan pembuatan beberapa versi kebijakan untuk peralihan cepat tidak disediakan.
  • Didistribusikan secara otomatis ke router cabang jarak jauh. Dalam hal ini, saluran komunikasi yang sama digunakan untuk transmisi data pengguna. Jika tidak ada saluran komunikasi antara cabang pusat dan daerah terpencil, maka distribusi/perubahan kebijakan tidak mungkin dilakukan.
  • Mereka digunakan di setiap router dan, jika perlu, memodifikasi hasil protokol perutean standar, dengan prioritas lebih tinggi.
  • Untuk kasus di mana semua tautan WAN cabang mengalami kehilangan lalu lintas yang signifikan, tidak ada mekanisme kompensasi yang disediakan.

Kebijakan SD-WAN:

  • Didefinisikan di GUI vManage melalui wizard template interaktif.
  • Mendukung pembuatan banyak kebijakan, penyalinan, pewarisan, peralihan antar kebijakan secara real time.
  • Mendukung pengaturan kebijakan individual untuk segmen jaringan yang berbeda (cabang)
  • Mereka didistribusikan menggunakan saluran sinyal apa pun yang tersedia antara pengontrol dan router dan/atau vSmart - tidak secara langsung bergantung pada konektivitas bidang data antar router. Hal ini tentu saja memerlukan konektivitas IP antara router itu sendiri dan pengontrolnya.

    Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

  • Untuk kasus ketika semua cabang yang tersedia dari suatu cabang mengalami kehilangan data yang signifikan melebihi ambang batas yang dapat diterima untuk aplikasi kritis, dimungkinkan untuk menggunakan mekanisme tambahan yang meningkatkan keandalan transmisi:
    • FEC (Koreksi Kesalahan Maju) – menggunakan algoritma pengkodean redundan khusus. Saat mentransmisikan lalu lintas penting melalui saluran dengan persentase kerugian yang signifikan, FEC dapat diaktifkan secara otomatis dan memungkinkan, jika perlu, memulihkan bagian data yang hilang. Ini sedikit meningkatkan bandwidth transmisi yang digunakan, namun secara signifikan meningkatkan keandalan.

      Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

    • Duplikasi aliran data – Selain FEC, kebijakan ini dapat mengatur duplikasi otomatis lalu lintas aplikasi yang dipilih jika terjadi tingkat kerugian yang lebih serius yang tidak dapat dikompensasi oleh FEC. Dalam hal ini, data yang dipilih akan ditransmisikan melalui semua terowongan menuju cabang penerima, diikuti dengan de-duplikasi (menjatuhkan salinan paket tambahan). Mekanisme ini secara signifikan meningkatkan pemanfaatan saluran, namun juga secara signifikan meningkatkan keandalan transmisi.

Kemampuan Cisco SD-WAN, tanpa analog langsung di DMVPN/PfR

Arsitektur solusi Cisco SD-WAN dalam beberapa kasus memungkinkan Anda memperoleh kemampuan yang sangat sulit diterapkan dalam DMVPN/PfR, atau tidak praktis karena biaya tenaga kerja yang diperlukan, atau sama sekali tidak mungkin. Mari kita lihat yang paling menarik:

Rekayasa Lalu Lintas (TE)

TE mencakup mekanisme yang memungkinkan lalu lintas bercabang dari jalur standar yang dibentuk oleh protokol perutean. TE sering digunakan untuk memastikan ketersediaan layanan jaringan yang tinggi, melalui kemampuan untuk secara cepat dan/atau proaktif mentransfer lalu lintas penting ke jalur transmisi alternatif (disjoint), untuk memastikan kualitas layanan yang lebih baik atau kecepatan pemulihan jika terjadi kegagalan. di jalur utama.

Kesulitan dalam pelaksanaan TE terletak pada perlunya menghitung dan mencadangkan (memeriksa) jalur alternatif terlebih dahulu. Dalam jaringan MPLS operator telekomunikasi, masalah ini diselesaikan dengan menggunakan teknologi seperti MPLS Traffic-Engineering dengan ekstensi protokol IGP dan protokol RSVP. Baru-baru ini, teknologi Perutean Segmen, yang lebih dioptimalkan untuk konfigurasi dan orkestrasi terpusat, menjadi semakin populer. Dalam jaringan WAN klasik, teknologi ini biasanya tidak terwakili atau direduksi menjadi penggunaan mekanisme hop-by-hop seperti Policy-Based Routing (PBR), yang mampu mencabangkan lalu lintas, tetapi mengimplementasikannya pada setiap router secara terpisah - tanpa mengambil memperhitungkan keadaan keseluruhan jaringan atau hasil PBR pada langkah sebelumnya atau selanjutnya. Hasil dari penggunaan opsi TE ini mengecewakan - MPLS TE, karena kerumitan konfigurasi dan operasi, biasanya hanya digunakan di bagian paling kritis dari jaringan (inti), dan PBR digunakan pada masing-masing router tanpa kemampuan untuk membuat kebijakan PBR terpadu untuk seluruh jaringan. Tentunya hal ini juga berlaku pada jaringan berbasis DMVPN.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

SD-WAN dalam hal ini menawarkan solusi yang jauh lebih elegan yang tidak hanya mudah dikonfigurasi, namun juga berskala jauh lebih baik. Hal ini merupakan hasil dari arsitektur bidang kendali dan bidang kebijakan yang digunakan. Menerapkan bidang kebijakan di SD-WAN memungkinkan Anda menentukan kebijakan TE secara terpusat - lalu lintas apa yang diminati? untuk VPN yang mana? Melalui titik/terowongan manakah perlu atau sebaliknya dilarang untuk membentuk jalur alternatif? Pada gilirannya, sentralisasi manajemen bidang kontrol berdasarkan pengontrol vSmart memungkinkan Anda untuk mengubah hasil perutean tanpa menggunakan pengaturan masing-masing perangkat - router hanya melihat hasil logika yang dihasilkan di antarmuka vManage dan ditransfer untuk digunakan ke vPintar.

Rangkaian layanan

Membentuk rantai layanan adalah tugas yang lebih padat karya dalam perutean klasik dibandingkan dengan mekanisme Rekayasa Lalu Lintas yang telah dijelaskan. Memang, dalam hal ini, perlu tidak hanya membuat rute khusus untuk aplikasi jaringan tertentu, tetapi juga untuk memastikan kemampuan untuk menghapus lalu lintas dari jaringan pada node tertentu (atau semua) jaringan SD-WAN untuk diproses oleh aplikasi atau layanan khusus (Firewall, Balancing, Caching, Inspeksi lalu lintas, dll). Pada saat yang sama, keadaan layanan eksternal ini harus dapat dikontrol untuk mencegah situasi lubang hitam, dan mekanisme juga diperlukan yang memungkinkan layanan eksternal dengan jenis yang sama ditempatkan di lokasi geografis yang berbeda. dengan kemampuan jaringan untuk secara otomatis memilih node layanan yang paling optimal untuk memproses lalu lintas cabang tertentu. Dalam kasus Cisco SD-WAN, hal ini cukup mudah dicapai dengan membuat kebijakan terpusat yang sesuai yang “merekatkan” semua aspek rantai layanan target menjadi satu kesatuan dan secara otomatis mengubah logika bidang data dan bidang kontrol hanya jika dan bila diperlukan.

Akankah Cisco SD-WAN memutus cabang tempat DMVPN berada?

Kemampuan untuk membuat pemrosesan lalu lintas yang terdistribusi secara geografis dari jenis aplikasi tertentu dalam urutan tertentu pada peralatan khusus (tetapi tidak terkait dengan jaringan SD-WAN itu sendiri) mungkin merupakan demonstrasi paling jelas tentang keunggulan Cisco SD-WAN dibandingkan yang klasik. teknologi dan bahkan beberapa solusi SD alternatif -WAN dari produsen lain.

Hasilnya?

Tentunya, baik DMVPN (dengan atau tanpa Performance Routing) dan Cisco SD-WAN akhirnya memecahkan masalah yang sangat mirip sehubungan dengan jaringan WAN terdistribusi organisasi. Pada saat yang sama, perbedaan arsitektur dan fungsional yang signifikan dalam teknologi Cisco SD-WAN mengarah pada proses penyelesaian masalah ini ke tingkat kualitas lain. Ringkasnya, kami dapat mencatat perbedaan signifikan berikut antara teknologi SD-WAN dan DMVPN/PfR:

  • DMVPN/PfR secara umum menggunakan teknologi yang telah teruji waktu untuk membangun jaringan VPN overlay dan, dalam hal bidang data, mirip dengan teknologi SD-WAN yang lebih modern, namun terdapat sejumlah batasan dalam bentuk konfigurasi statis wajib router dan pilihan topologi terbatas pada Hub-n-Spoke. Di sisi lain, DMVPN/PfR memiliki beberapa fungsi yang belum tersedia dalam SD-WAN (kita berbicara tentang BFD per aplikasi).
  • Dalam bidang kendali, teknologinya berbeda secara mendasar. Dengan mempertimbangkan pemrosesan terpusat dari protokol pensinyalan, SD-WAN memungkinkan, khususnya, untuk secara signifikan mempersempit domain kegagalan dan “memisahkan” proses transmisi lalu lintas pengguna dari interaksi pensinyalan - tidak tersedianya pengontrol untuk sementara tidak mempengaruhi kemampuan untuk mengirimkan lalu lintas pengguna . Pada saat yang sama, tidak tersedianya sementara cabang mana pun (termasuk cabang pusat) sama sekali tidak mempengaruhi kemampuan cabang lain untuk berinteraksi satu sama lain dan pengontrol.
  • Arsitektur untuk pembentukan dan penerapan kebijakan manajemen lalu lintas dalam kasus SD-WAN juga lebih unggul daripada DMVPN/PfR - geo-reservasi diterapkan jauh lebih baik, tidak ada koneksi ke Hub, ada lebih banyak peluang untuk denda -penyesuaian kebijakan, daftar skenario manajemen lalu lintas yang diterapkan juga jauh lebih besar.
  • Proses orkestrasi solusi juga sangat berbeda. DMVPN mengasumsikan adanya parameter yang diketahui sebelumnya yang harus tercermin dalam konfigurasi, yang agak membatasi fleksibilitas solusi dan kemungkinan perubahan dinamis. Pada gilirannya, SD-WAN didasarkan pada paradigma bahwa pada saat awal koneksi, router “tidak tahu apa-apa” tentang pengontrolnya, tetapi tahu “siapa yang bisa Anda tanyakan” - ini tidak hanya cukup untuk menjalin komunikasi secara otomatis dengan pengontrol, tetapi juga secara otomatis membentuk topologi bidang data yang terhubung sepenuhnya, yang kemudian dapat dikonfigurasi/diubah secara fleksibel menggunakan kebijakan.
  • Dalam hal manajemen terpusat, otomatisasi dan pemantauan, SD-WAN diharapkan melampaui kemampuan DMVPN/PfR, yang telah berevolusi dari teknologi klasik dan lebih bergantung pada baris perintah CLI dan penggunaan sistem NMS berbasis templat.
  • Di SD-WAN, dibandingkan dengan DMVPN, persyaratan keamanan telah mencapai tingkat kualitatif yang berbeda. Prinsip utamanya adalah nol kepercayaan, skalabilitas, dan otentikasi dua faktor.

Kesimpulan sederhana ini mungkin memberikan kesan yang salah bahwa pembuatan jaringan berdasarkan DMVPN/PfR telah kehilangan relevansinya saat ini. Hal ini tentu saja tidak sepenuhnya benar. Misalnya, dalam kasus di mana jaringan menggunakan banyak peralatan usang dan tidak ada cara untuk menggantinya, DMVPN memungkinkan Anda menggabungkan perangkat “lama” dan “baru” ke dalam satu jaringan terdistribusi geografis dengan banyak keunggulan yang dijelaskan. di atas.

Di sisi lain, harus diingat bahwa semua router perusahaan Cisco saat ini yang berbasis IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) saat ini mendukung mode operasi apa pun - baik perutean klasik maupun DMVPN dan SD-WAN - pilihannya ditentukan oleh kebutuhan saat ini dan pemahaman bahwa setiap saat, dengan menggunakan peralatan yang sama, Anda dapat mulai beralih ke teknologi yang lebih maju.

Sumber: www.habr.com

Tambah komentar