ProHoster > blog > amministrazione > Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Dall'agosto 2017, quando Cisco ha acquisito Viptela, è diventata la principale tecnologia offerta per l'organizzazione di reti aziendali distribuite Cisco SD-WAN. Negli ultimi 3 anni, la tecnologia SD-WAN ha subito molti cambiamenti, sia qualitativi che quantitativi. Pertanto, la funzionalità si è ampliata in modo significativo e il supporto è apparso sui router classici della serie Cisco ISR 1000, ISR 4000, ASR 1000 e Virtual CSR 1000v. Allo stesso tempo, molti clienti e partner Cisco continuano a chiedersi: quali sono le differenze tra Cisco SD-WAN e gli approcci già familiari basati su tecnologie come Cisco DMVPN и Routing delle prestazioni Cisco e quanto sono importanti queste differenze?

Qui dovremmo immediatamente fare una prenotazione che prima dell'avvento di SD-WAN nel portafoglio Cisco, DMVPN insieme a PfR costituivano una parte fondamentale dell'architettura Cisco IWAN (WAN intelligente), che a sua volta è stato il predecessore della vera e propria tecnologia SD-WAN. Nonostante la somiglianza generale tra i compiti da risolvere e i metodi per risolverli, IWAN non ha mai ricevuto il livello di automazione, flessibilità e scalabilità necessario per SD-WAN e nel tempo lo sviluppo di IWAN è notevolmente diminuito. Allo stesso tempo, le tecnologie che compongono l'IWAN non sono scomparse e molti clienti continuano a utilizzarle con successo, anche su apparecchiature moderne. Di conseguenza, si è creata una situazione interessante: la stessa attrezzatura Cisco consente di scegliere la tecnologia WAN più adatta (classica, DMVPN+PfR o SD-WAN) in base ai requisiti e alle aspettative dei clienti.

L'articolo non intende analizzare in dettaglio tutte le funzionalità delle tecnologie Cisco SD-WAN e DMVPN (con o senza Performance Routing): i documenti e materiali disponibili per questo sono enormi. Il compito principale è provare a valutare le differenze chiave tra queste tecnologie. Ma prima di passare alla discussione di queste differenze, ricordiamo brevemente le tecnologie stesse.

Cos'è Cisco DMVPN e perché è necessario?

Cisco DMVPN risolve il problema della connessione dinamica (= scalabile) di una rete di filiali remote alla rete dell'ufficio centrale di un'azienda quando si utilizzano tipi arbitrari di canali di comunicazione, incluso Internet (= con crittografia del canale di comunicazione). Tecnicamente ciò si realizza realizzando una rete overlay virtualizzata di classe VPN L3 in modalità punto-multipunto con topologia logica di tipo “Star” (Hub-n-Spoke). Per raggiungere questo obiettivo, DMVPN utilizza una combinazione delle seguenti tecnologie:

  • Instradamento IP
  • Tunnel GRE multipunto (mGRE)
  • Protocollo di risoluzione del prossimo hop (NHRP)
  • Profili crittografici IPSec

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Quali sono i principali vantaggi di Cisco DMVPN rispetto al routing classico tramite canali VPN MPLS?

  • Per creare una rete interfiliale è possibile utilizzare qualsiasi canale di comunicazione: va bene qualunque cosa possa fornire connettività IP tra filiali, mentre il traffico sarà crittografato (dove necessario) e bilanciato (dove possibile)
  • Viene creata automaticamente una topologia completamente connessa tra i rami. Allo stesso tempo, ci sono tunnel statici tra le filiali centrali e remote, e tunnel dinamici su richiesta tra le filiali remote (se c'è traffico)
  • I router della filiale centrale e remota hanno la stessa configurazione fino agli indirizzi IP delle interfacce. Utilizzando mGRE, non è necessario configurare individualmente decine, centinaia o addirittura migliaia di tunnel. Di conseguenza, scalabilità decente con il giusto design.

Che cos'è Cisco Performance Routing e perché è necessario?

Quando si utilizza DMVPN su una rete interfiliale, una domanda estremamente importante rimane irrisolta: come valutare dinamicamente lo stato di ciascuno dei tunnel DMVPN per soddisfare i requisiti di traffico critico per la nostra organizzazione e, ancora una volta, sulla base di tale valutazione, effettuare dinamicamente una decisione sul reindirizzamento? Il fatto è che DMVPN in questa parte differisce poco dal routing classico: la cosa migliore che si può fare è configurare meccanismi QoS che consentano di dare priorità al traffico in uscita, ma non sono in alcun modo in grado di tenere conto dello stato di l'intero percorso in un momento o nell'altro.

E cosa fare se il canale si degrada parzialmente e non completamente: come rilevarlo e valutarlo? Lo stesso DMVPN non può farlo. Considerando che i canali che collegano le filiali possono passare attraverso operatori di telecomunicazioni completamente diversi, utilizzando tecnologie completamente diverse, questo compito diventa estremamente non banale. Ed è qui che viene in soccorso la tecnologia Cisco Performance Routing, che a quel tempo aveva già attraversato diverse fasi di sviluppo.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Il compito di Cisco Performance Routing (di seguito PfR) si riduce a misurare lo stato dei percorsi (tunnel) del traffico sulla base di metriche chiave importanti per le applicazioni di rete - latenza, variazione della latenza (jitter) e perdita di pacchetti (percentuale). Inoltre, è possibile misurare la larghezza di banda utilizzata. Queste misurazioni avvengono il più vicino possibile e in modo giustificato al tempo reale, e il risultato di queste misurazioni consente al router che utilizza PfR di prendere decisioni dinamiche sulla necessità di modificare l'instradamento di questo o quel tipo di traffico.

Pertanto, il compito della combinazione DMVPN/PfR può essere brevemente descritto come segue:

  • Consentire al cliente di utilizzare qualsiasi canale di comunicazione sulla rete WAN
  • Garantire la massima qualità possibile delle applicazioni critiche su questi canali

Cos'è Cisco SD-WAN?

Cisco SD-WAN è una tecnologia che utilizza l'approccio SDN per creare e gestire la rete WAN di un'organizzazione. Ciò significa in particolare l'utilizzo dei cosiddetti controller (elementi software), che provvedono all'orchestrazione centralizzata e alla configurazione automatizzata di tutti i componenti della soluzione. A differenza del canonico SDN (stile Clean Slate), Cisco SD-WAN utilizza diversi tipi di controller, ognuno dei quali svolge il proprio ruolo: questo è stato fatto deliberatamente per fornire una migliore scalabilità e ridondanza geografica.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Nel caso della SD-WAN, il compito di utilizzare qualsiasi tipo di canale e di garantire il funzionamento delle applicazioni aziendali rimane lo stesso, ma allo stesso tempo si ampliano i requisiti di automazione, scalabilità, sicurezza e flessibilità di tale rete.

Discussione delle differenze

Se ora iniziamo ad analizzare le differenze tra queste tecnologie, queste rientreranno in una delle seguenti categorie:

  • Differenze architetturali: come sono distribuite le funzioni tra i vari componenti della soluzione, come è organizzata l'interazione di tali componenti e in che modo ciò influisce sulle capacità e sulla flessibilità della tecnologia?
  • Funzionalità: cosa può fare una tecnologia che un’altra non può fare? Ed è davvero così importante?

Quali sono le differenze architettoniche e sono importanti?

Ognuna di queste tecnologie ha molte “parti mobili” che differiscono non solo nei loro ruoli, ma anche nel modo in cui interagiscono tra loro. Il modo in cui questi principi sono pensati e la meccanica generale della soluzione ne determinano direttamente la scalabilità, la tolleranza agli errori e l'efficienza complessiva.

Vediamo più nel dettaglio i vari aspetti dell'architettura:

Piano dati – parte della soluzione responsabile della trasmissione del traffico utente tra la sorgente e il destinatario. DMVPN e SD-WAN sono implementati generalmente in modo identico sui router stessi sulla base di tunnel Multipoint GRE. La differenza sta nel modo in cui viene formato il set di parametri necessari per questi tunnel:

  • в DMVPN/PfR è una gerarchia di nodi esclusivamente a due livelli con topologia Star o Hub-n-Spoke. Sono richiesti la configurazione statica dell'hub e l'associazione statica di Spoke all'hub, nonché l'interazione tramite il protocollo NHRP per formare la connettività del piano dati. Di conseguenza, rendere le modifiche all’Hub molto più difficililegati, ad esempio, alla modifica/connessione di nuovi canali WAN o alla modifica dei parametri di quelli esistenti.
  • в SD-WAN è un modello completamente dinamico per il rilevamento dei parametri dei tunnel installati basato sul piano di controllo (protocollo OMP) e sul piano di orchestrazione (interazione con il controller vBond per il rilevamento del controller e le attività di attraversamento NAT). In questo caso è possibile utilizzare qualsiasi topologia sovrapposta, comprese quelle gerarchiche. All'interno della topologia del tunnel overlay stabilita è possibile una configurazione flessibile della topologia logica in ogni singola VPN (VRF).

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Piano di controllo – funzioni di scambio, filtraggio e modifica del routing e di altre informazioni tra i componenti della soluzione.

  • в DMVPN/PfR – effettuato solo tra router Hub e Spoke. Lo scambio diretto di informazioni di routing tra Spokes non è possibile. Di conseguenza, Senza un Hub funzionante, il piano di controllo e il piano dati non possono funzionare, che impone all'hub ulteriori requisiti di elevata disponibilità che non sempre possono essere soddisfatti.
  • в SD-WAN – il control-plane non viene mai effettuato direttamente tra router – l’interazione avviene sulla base del protocollo OMP e viene necessariamente effettuata attraverso un tipo specializzato separato di controller vSmart, che offre la possibilità di bilanciamento, geo-prenotazione e controllo centralizzato dei carico del segnale. Un'altra caratteristica del protocollo OMP è la sua significativa resistenza alle perdite e l'indipendenza dalla velocità del canale di comunicazione con i controllori (entro limiti ragionevoli, ovviamente). Ciò consente con uguale successo di posizionare i controller SD-WAN in cloud pubblici o privati ​​con accesso tramite Internet.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Piano politico – parte della soluzione responsabile della definizione, distribuzione e applicazione delle politiche di gestione del traffico su una rete distribuita.

  • DMVPN – è effettivamente limitato dalle policy di qualità del servizio (QoS) configurate individualmente su ciascun router tramite la CLI o i modelli Prime Infrastructure.
  • DMVPN/PfR – Le policy PfR vengono formate sul router centralizzato Master Controller (MC) tramite la CLI e quindi distribuite automaticamente alle filiali MC. In questo caso vengono utilizzati gli stessi percorsi di trasferimento delle policy del piano dati. Non è possibile separare lo scambio di policy, informazioni di routing e dati utente. La propagazione delle policy richiede la presenza di connettività IP tra Hub e Spoke. In questo caso la funzione MC può, se necessario, essere combinata con un router DMVPN. È possibile (ma non obbligatorio) utilizzare i modelli Prime Infrastructure per la generazione centralizzata delle policy. Una caratteristica importante è che la politica si forma a livello globale in tutta la rete allo stesso modo: Le politiche individuali per i singoli segmenti non sono supportate.
  • SD-WAN – le politiche di gestione del traffico e di qualità del servizio vengono determinate centralmente attraverso l'interfaccia grafica Cisco vManage, accessibile anche via Internet (se necessario). Sono distribuiti tramite canali di segnalazione direttamente o indirettamente tramite controller vSmart (a seconda del tipo di policy). Non dipendono dalla connettività del piano dati tra i router, perché utilizzare tutti i percorsi di traffico disponibili tra il controller e il router.

    Per diversi segmenti di rete è possibile formulare in modo flessibile policy diverse: l'ambito della policy è determinato da molti identificatori univoci forniti nella soluzione: numero di filiale, tipo di applicazione, direzione del traffico, ecc.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Piano di orchestrazione – meccanismi che consentono ai componenti di rilevarsi dinamicamente a vicenda, configurare e coordinare le interazioni successive.

  • в DMVPN/PfR Il rilevamento reciproco tra router si basa sulla configurazione statica dei dispositivi Hub e sulla corrispondente configurazione dei dispositivi Spoke. Il rilevamento dinamico avviene solo per Spoke, che segnala i parametri di connessione dell'Hub al dispositivo, che a sua volta è preconfigurato con Spoke. Senza connettività IP tra Spoke e almeno un Hub, è impossibile formare un piano dati o un piano di controllo.
  • в SD-WAN l'orchestrazione dei componenti della soluzione avviene utilizzando il controller vBond, con il quale ciascun componente (router e controller vManage/vSmart) deve prima stabilire la connettività IP.

    Inizialmente i componenti non conoscono i reciproci parametri di connessione: per questo hanno bisogno dell'orchestratore intermediario vBond. Il principio generale è il seguente: ogni componente nella fase iniziale apprende (automaticamente o staticamente) solo i parametri di connessione a vBond, quindi vBond informa il router sui controller vManage e vSmart (scoperti in precedenza), il che rende possibile stabilire automaticamente tutti i collegamenti di segnalazione necessari.

    Il passaggio successivo prevede che il nuovo router impari a conoscere gli altri router sulla rete tramite la comunicazione OMP con il controller vSmart. Pertanto il router, senza sapere inizialmente nulla dei parametri di rete, è in grado di rilevare e connettersi in modo completamente automatico ai controller e quindi anche di rilevare e creare automaticamente la connettività con altri router. In questo caso i parametri di collegamento di tutti i componenti sono inizialmente sconosciuti e possono cambiare durante il funzionamento.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Piano di gestione – parte della soluzione che fornisce gestione e monitoraggio centralizzati.

  • DMVPN/PfR – non viene fornita alcuna soluzione specializzata sul piano di gestione. Per l'automazione e il monitoraggio di base è possibile utilizzare prodotti come Cisco Prime Infrastructure. Ogni router ha la possibilità di essere controllato tramite la riga di comando della CLI. Non è prevista l'integrazione con sistemi esterni tramite API.
  • SD-WAN – tutte le interazioni e il monitoraggio regolari vengono eseguiti centralmente tramite l'interfaccia grafica del controller vManage. Tutte le funzionalità della soluzione, senza eccezioni, sono disponibili per la configurazione tramite vManage, nonché tramite una libreria API REST completamente documentata.

    Tutte le impostazioni di rete SD-WAN in vManage si riducono a due costrutti principali: la formazione di modelli di dispositivo (Device Template) e la formazione di una policy che determina la logica del funzionamento della rete e dell'elaborazione del traffico. Allo stesso tempo vManage, trasmettendo la policy generata dall'amministratore, seleziona automaticamente quali modifiche e su quali singoli dispositivi/controller devono essere apportate, aumentando significativamente l'efficienza e la scalabilità della soluzione.

    Attraverso l'interfaccia vManage è disponibile non solo la configurazione della soluzione Cisco SD-WAN, ma anche il monitoraggio completo dello stato di tutti i componenti della soluzione, fino allo stato attuale delle metriche dei singoli tunnel e delle statistiche sull'utilizzo delle varie applicazioni sulla base dell'analisi DPI.

    Nonostante la centralizzazione dell'interazione, tutti i componenti (controller e router) dispongono anche di una riga di comando CLI completamente funzionale, necessaria in fase di implementazione o in caso di emergenza per la diagnostica locale. In modalità normale (se è presente un canale di segnalazione tra i componenti) sui router, la riga di comando è disponibile solo per la diagnostica e non è disponibile per apportare modifiche locali, il che garantisce sia la sicurezza locale che l'unica fonte di modifiche in tale rete – vManage .

Sicurezza integrata – qui dovremmo parlare non solo della protezione dei dati dell’utente durante la trasmissione su canali aperti, ma anche della sicurezza complessiva della rete WAN in base alla tecnologia selezionata.

  • в DMVPN/PfR È possibile crittografare i dati utente e i protocolli di segnalazione. Utilizzando determinati modelli di router sono inoltre disponibili funzioni firewall con controllo del traffico, IPS/IDS. È possibile segmentare le reti di filiali utilizzando VRF. È possibile autenticare i protocolli di controllo (a un fattore).

    In questo caso, il router remoto è considerato per impostazione predefinita un elemento affidabile della rete, ovvero non vengono presupposti né presi in considerazione i casi di compromissione fisica dei singoli dispositivi e la possibilità di accesso non autorizzato agli stessi; non esiste un'autenticazione a due fattori dei componenti della soluzione, che nel caso di una rete geograficamente distribuita possono comportare rischi aggiuntivi significativi.

  • в SD-WAN per analogia con DMVPN, viene fornita la possibilità di crittografare i dati utente, ma con sicurezza di rete notevolmente ampliata e funzioni di segmentazione L3/VRF (firewall, IPS/IDS, filtro URL, filtro DNS, AMP/TG, SASE, proxy TLS/SSL, ecc.) d.). Allo stesso tempo, lo scambio delle chiavi di crittografia viene effettuato in modo più efficiente tramite i controller vSmart (piuttosto che direttamente), attraverso canali di segnalazione prestabiliti protetti da crittografia DTLS/TLS basata su certificati di sicurezza. Il che a sua volta garantisce la sicurezza di tali scambi e assicura una migliore scalabilità della soluzione fino a decine di migliaia di dispositivi sulla stessa rete.

    Anche tutte le connessioni di segnalazione (da controller a controller, controller-router) sono protette in base a DTLS/TLS. Le fresatrici sono dotate di certificati di sicurezza in fase di produzione con possibilità di sostituzione/estensione. L'autenticazione a due fattori si ottiene attraverso il rispetto obbligatorio e simultaneo di due condizioni affinché il router/controller funzioni in una rete SD-WAN:

    • Certificato di sicurezza valido
    • Inserimento esplicito e consapevole da parte dell'amministratore di ciascun componente nella lista “bianca” dei dispositivi consentiti.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

Differenze funzionali tra SD-WAN e DMVPN/PfR

Passando alla discussione delle differenze funzionali, va notato che molte di esse sono una continuazione di quelle architettoniche: non è un segreto che quando formano l'architettura di una soluzione, gli sviluppatori iniziano dalle capacità che desiderano ottenere alla fine. Vediamo le differenze più significative tra le due tecnologie.

AppQ (Application Quality) – funzioni per garantire la qualità della trasmissione del traffico delle applicazioni aziendali

Le funzioni chiave delle tecnologie in esame mirano a migliorare il più possibile l'esperienza dell'utente quando si utilizzano applicazioni business-critical in una rete distribuita. Ciò è particolarmente importante in condizioni in cui parte dell'infrastruttura non è controllata dall'IT o non garantisce nemmeno il successo del trasferimento dei dati.

DMVPN non fornisce di per sé tali meccanismi. Il meglio che si può fare in una classica rete DMVPN è classificare il traffico in uscita per applicazione e dargli la priorità quando viene trasmesso verso il canale WAN. La scelta di un tunnel DMVPN in questo caso è determinata solo dalla sua disponibilità e dal risultato del funzionamento dei protocolli di instradamento. Allo stesso tempo, lo stato end-to-end del percorso/tunnel e il suo possibile degrado parziale non vengono presi in considerazione in termini di parametri chiave significativi per le applicazioni di rete: ritardo, variazione del ritardo (jitter) e perdite (% ). A questo proposito, il confronto diretto tra DMVPN classico e SD-WAN in termini di risoluzione dei problemi AppQ perde ogni significato: DMVPN non può risolvere questo problema. Se in questo contesto si aggiunge la tecnologia Cisco Performance Routing (PfR), la situazione cambia e il confronto con Cisco SD-WAN diventa più significativo.

Prima di discutere le differenze, ecco una rapida occhiata a come le tecnologie sono simili. Quindi, entrambe le tecnologie:

  • disporre di un meccanismo che consente di valutare dinamicamente lo stato di ciascun tunnel stabilito in termini di determinati parametri: come minimo ritardo, variazione del ritardo e perdita di pacchetti (%)
  • utilizzare una serie specifica di strumenti per formare, distribuire e applicare regole (politiche) di gestione del traffico, tenendo conto dei risultati della misurazione dello stato delle metriche chiave del tunnel.
  • classificare il traffico delle applicazioni ai livelli L3-L4 (DSCP) del modello OSI o tramite firme delle applicazioni L7 basate su meccanismi DPI integrati nel router
  • Per applicazioni significative, consentono di determinare valori di soglia accettabili delle metriche, regole per la trasmissione del traffico per impostazione predefinita e regole per reindirizzare il traffico quando i valori di soglia vengono superati.
  • Quando incapsulano il traffico in GRE/IPSec, utilizzano il meccanismo industriale già stabilito per trasferire i contrassegni DSCP interni all'intestazione del pacchetto GRE/IPSEC esterna, che consente di sincronizzare le politiche QoS dell'organizzazione e dell'operatore di telecomunicazioni (se esiste uno SLA appropriato) .

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

In cosa differiscono le metriche end-to-end SD-WAN e DMVPN/PfR?

DMVPN/PfR

  • Sia i sensori software attivi che quelli passivi (sonde) vengono utilizzati per valutare le metriche standard sulla salute del tunnel. Quelli attivi si basano sul traffico degli utenti, quelli passivi emulano tale traffico (in sua assenza).
  • Non è prevista alcuna regolazione fine dei timer e delle condizioni di rilevamento del degrado: l'algoritmo è fisso.
  • Inoltre, è disponibile la misurazione della larghezza di banda utilizzata nella direzione in uscita. Ciò aggiunge ulteriore flessibilità di gestione del traffico a DMVPN/PfR.
  • Allo stesso tempo, alcuni meccanismi PfR, quando le metriche vengono superate, si basano su segnalazioni di feedback sotto forma di speciali messaggi TCA (Threshold Crossing Alert) che devono provenire dal destinatario del traffico verso la fonte, che a sua volta presuppone che lo stato del i canali misurati dovrebbero essere almeno sufficienti per la trasmissione di tali messaggi TCA. Il che nella maggior parte dei casi non costituisce un problema, ma ovviamente non può essere garantito.

SD-WAN

  • Per la valutazione end-to-end delle metriche standard dello stato del tunnel, il protocollo BFD viene utilizzato in modalità eco. In questo caso non è richiesto un feedback speciale sotto forma di TCA o messaggi simili: viene mantenuto l'isolamento dei domini in errore. Inoltre non richiede la presenza di traffico utente per valutare lo stato del tunnel.
  • È possibile ottimizzare i timer BFD per regolare la velocità di risposta e la sensibilità dell'algoritmo al degrado del canale di comunicazione da alcuni secondi a minuti.

    Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

  • Al momento in cui scrivo, esiste una sola sessione BFD in ciascun tunnel. Ciò crea potenzialmente meno granularità nell'analisi dello stato del tunnel. In realtà, questo può diventare un limite solo se si utilizza una connessione WAN basata su VPN MPLS L2/L3 con un QoS SLA concordato - se la marcatura DSCP del traffico BFD (dopo l'incapsulamento in IPSec/GRE) corrisponde alla coda ad alta priorità in rete dell'operatore di telecomunicazioni, ciò potrebbe influire sulla precisione e sulla velocità del rilevamento del degrado per il traffico a bassa priorità. Allo stesso tempo, è possibile modificare l’etichettatura BFD predefinita per ridurre il rischio di tali situazioni. Nelle future versioni del software Cisco SD-WAN sono previste impostazioni BFD più precise, nonché la possibilità di avviare più sessioni BFD all'interno dello stesso tunnel con valori DSCP individuali (per applicazioni diverse).
  • BFD consente inoltre di stimare la dimensione massima del pacchetto che può essere trasmesso attraverso un particolare tunnel senza frammentazione. Ciò consente a SD-WAN di regolare dinamicamente parametri come MTU e TCP MSS Adjustment per sfruttare al massimo la larghezza di banda disponibile su ciascun collegamento.
  • In SD-WAN è disponibile anche l'opzione di sincronizzazione QoS degli operatori di telecomunicazioni, non solo in base ai campi DSCP L3, ma anche in base ai valori CoS L2, che possono essere generati automaticamente nella rete delle filiali da dispositivi specializzati, ad esempio IP telefoni

In cosa differiscono le capacità e i metodi di definizione e applicazione delle policy AppQ?

Politiche DMVPN/PfR:

  • Definito sui router della filiale centrale tramite la riga di comando della CLI o i modelli di configurazione della CLI. La generazione di modelli CLI richiede preparazione e conoscenza della sintassi delle policy.

    Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

  • Definito globalmente senza possibilità di configurazione/modifica individuale dei requisiti dei singoli segmenti di rete.
  • La generazione interattiva delle policy non è fornita nell'interfaccia grafica.
  • Non vengono forniti il ​​monitoraggio delle modifiche, l'ereditarietà e la creazione di più versioni di policy per il passaggio rapido.
  • Distribuito automaticamente ai router delle filiali remote. In questo caso vengono utilizzati gli stessi canali di comunicazione utilizzati per la trasmissione dei dati utente. Se non esiste un canale di comunicazione tra la filiale centrale e quella remota, la distribuzione/modifica delle politiche è impossibile.
  • Vengono utilizzati su ciascun router e, se necessario, modificano il risultato dei protocolli di routing standard, avendo una priorità più alta.
  • Nei casi in cui tutti i collegamenti WAN delle filiali subiscono una significativa perdita di traffico, non sono previsti meccanismi di compensazione.

Politiche SD-WAN:

  • Definito nella GUI di vManage tramite la procedura guidata del modello interattivo.
  • Supporta la creazione di più policy, la copia, l'ereditarietà e il passaggio da una policy all'altra in tempo reale.
  • Supporta impostazioni di criteri individuali per diversi segmenti di rete (filiali)
  • Sono distribuiti utilizzando qualsiasi canale di segnale disponibile tra il controller e il router e/o vSmart e non dipendono direttamente dalla connettività del piano dati tra i router. Ciò, ovviamente, richiede la connettività IP tra il router stesso e i controller.

    Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

  • Nei casi in cui tutte le filiali disponibili di una filiale subiscono perdite di dati significative che superano le soglie accettabili per le applicazioni critiche, è possibile utilizzare meccanismi aggiuntivi che aumentano l'affidabilità della trasmissione:
    • FEC (correzione degli errori in avanti) – utilizza uno speciale algoritmo di codifica ridondante. Quando si trasmette traffico critico su canali con una percentuale significativa di perdite, FEC può essere attivato automaticamente e consente, se necessario, di ripristinare la parte persa dei dati. Ciò aumenta leggermente la larghezza di banda di trasmissione utilizzata, ma migliora notevolmente l'affidabilità.

      Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

    • Duplicazione dei flussi di dati – Oltre al FEC, la policy può prevedere la duplicazione automatica del traffico delle applicazioni selezionate in caso di un livello di perdite ancora più grave che non può essere compensato dal FEC. In questo caso, i dati selezionati verranno trasmessi attraverso tutti i tunnel verso il ramo ricevente con successiva deduplicazione (rilasciando copie extra dei pacchetti). Il meccanismo aumenta significativamente l'utilizzo del canale, ma aumenta anche significativamente l'affidabilità della trasmissione.

Funzionalità Cisco SD-WAN, senza analoghi diretti in DMVPN/PfR

L'architettura della soluzione Cisco SD-WAN in alcuni casi consente di ottenere funzionalità che sono estremamente difficili da implementare all'interno di DMVPN/PfR, oppure sono impraticabili a causa dei costi di manodopera richiesti, o sono completamente impossibili. Vediamo quelli più interessanti:

Ingegneria del traffico (TE)

TE include meccanismi che consentono al traffico di diramarsi dal percorso standard formato dai protocolli di instradamento. La TE viene spesso utilizzata per garantire un'elevata disponibilità dei servizi di rete, attraverso la capacità di trasferire rapidamente e/o in modo proattivo il traffico critico su un percorso di trasmissione alternativo (disgiunto), al fine di garantire una migliore qualità del servizio o velocità di ripristino in caso di guasto sul sentiero principale.

La difficoltà nell'implementazione dell'IT risiede nella necessità di calcolare e riservare (controllare) in anticipo un percorso alternativo. Nelle reti MPLS degli operatori di telecomunicazioni questo problema viene risolto utilizzando tecnologie come MPLS Traffic-Engineering con estensioni dei protocolli IGP e del protocollo RSVP. Inoltre, recentemente, la tecnologia Segment Routing, che è maggiormente ottimizzata per la configurazione e l'orchestrazione centralizzate, è diventata sempre più popolare. Nelle reti WAN classiche, queste tecnologie di solito non sono rappresentate o si riducono all'uso di meccanismi hop-by-hop come Policy-Based Routing (PBR), che sono in grado di ramificare il traffico, ma lo implementano separatamente su ciascun router, senza prendere in considerazione in considerazione lo stato generale della rete o il risultato PBR nei passaggi precedenti o successivi. Il risultato dell'utilizzo di queste opzioni TE è deludente: MPLS TE, a causa della complessità della configurazione e del funzionamento, viene utilizzato, di norma, solo nella parte più critica della rete (core) e PBR viene utilizzato sui singoli router senza la capacità di creare una politica PBR unificata per l'intera rete. Ciò vale ovviamente anche per le reti basate su DMVPN.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

SD-WAN a questo proposito offre una soluzione molto più elegante che non solo è facile da configurare, ma è anche molto più scalabile. Questo è il risultato delle architetture del piano di controllo e del piano delle politiche utilizzate. L'implementazione di un piano di policy in SD-WAN consente di definire centralmente la policy TE: quale traffico interessa? per quali VPN? Attraverso quali nodi/tunnel è necessario o, al contrario, vietato formare un percorso alternativo? A sua volta, la centralizzazione della gestione del piano di controllo basata sui controller vSmart consente di modificare i risultati del routing senza ricorrere alle impostazioni dei singoli dispositivi: i router vedono già solo il risultato della logica che è stata generata nell'interfaccia vManage e trasferita per l'uso a vSmart.

Concatenazione di servizi

La formazione di catene di servizi è un compito ancora più laborioso nel routing classico rispetto al già descritto meccanismo di ingegneria del traffico. In questo caso, infatti, è necessario non solo creare un percorso speciale per una specifica applicazione di rete, ma anche garantire la possibilità di rimuovere il traffico dalla rete su alcuni (o tutti) nodi della rete SD-WAN per l'elaborazione tramite un'applicazione o un servizio speciale (Firewall, Bilanciamento, Caching, Ispezione del traffico, ecc.). Allo stesso tempo, è necessario poter controllare lo stato di questi servizi esterni per prevenire situazioni di black-holing, e sono necessari anche meccanismi che permettano di collocare tali servizi esterni dello stesso tipo in diverse geolocalizzazioni con la capacità della rete di selezionare automaticamente il nodo di servizio più ottimale per elaborare il traffico di un particolare ramo. Nel caso di Cisco SD-WAN, ciò è abbastanza semplice da ottenere creando un’appropriata policy centralizzata che “incolla” tutti gli aspetti della catena di servizi target in un unico insieme e modifica automaticamente la logica del piano dati e del piano di controllo solo dove e quando necessario.

Cisco SD-WAN interromperà il ramo su cui si trova DMVPN?

La capacità di creare un'elaborazione geograficamente distribuita del traffico di tipi selezionati di applicazioni in una determinata sequenza su apparecchiature specializzate (ma non correlate alla rete SD-WAN stessa) è forse la dimostrazione più chiara dei vantaggi di Cisco SD-WAN rispetto al classico tecnologie e anche alcune soluzioni SD alternative -WAN di altri produttori.

Il risultato?

Ovviamente sia DMVPN (con o senza Performance Routing) che Cisco SD-WAN finiscono per risolvere problemi molto simili in relazione alla rete WAN distribuita dell'organizzazione. Allo stesso tempo, significative differenze architetturali e funzionali nella tecnologia Cisco SD-WAN portano al processo di risoluzione di questi problemi ad un altro livello di qualità. Per riassumere, possiamo notare le seguenti differenze significative tra le tecnologie SD-WAN e DMVPN/PfR:

  • DMVPN/PfR in generale utilizzano tecnologie collaudate nel tempo per la creazione di reti VPN sovrapposte e, in termini di piano dati, sono simili alla più moderna tecnologia SD-WAN, tuttavia, esistono una serie di limitazioni sotto forma di configurazione statica obbligatoria di router e la scelta delle topologie è limitata a Hub-n-Spoke. D'altra parte, DMVPN/PfR ha alcune funzionalità che non sono ancora disponibili all'interno di SD-WAN (stiamo parlando di BFD per applicazione).
  • All’interno del piano di controllo, le tecnologie differiscono fondamentalmente. Tenendo conto dell'elaborazione centralizzata dei protocolli di segnalazione, SD-WAN consente, in particolare, di restringere significativamente i domini di errore e di "disaccoppiare" il processo di trasmissione del traffico utente dall'interazione di segnalazione: l'indisponibilità temporanea dei controller non influisce sulla capacità di trasmettere il traffico utente . Allo stesso tempo, la temporanea indisponibilità di qualsiasi filiale (inclusa quella centrale) non pregiudica in alcun modo la capacità delle altre filiali di interagire tra loro e con i titolari.
  • Anche l'architettura per la formazione e l'applicazione delle politiche di gestione del traffico nel caso di SD-WAN è superiore a quella di DMVPN/PfR: la geo-prenotazione è implementata molto meglio, non c'è connessione all'hub, ci sono più opportunità di multa -ottimizzazione delle politiche, anche l'elenco degli scenari di gestione del traffico implementati è molto più ampio.
  • Anche il processo di orchestrazione della soluzione è significativamente diverso. DMVPN presuppone la presenza di parametri precedentemente noti che devono in qualche modo riflettersi nella configurazione, il che limita in qualche modo la flessibilità della soluzione e la possibilità di modifiche dinamiche. A sua volta, SD-WAN si basa sul paradigma secondo cui al momento iniziale della connessione, il router “non sa nulla” dei suoi controller, ma sa “a chi puoi chiedere” - questo è sufficiente non solo per stabilire automaticamente la comunicazione con i controller, ma anche a formare automaticamente una topologia del piano dati completamente connessa, che può quindi essere configurata/modificata in modo flessibile utilizzando le policy.
  • In termini di gestione centralizzata, automazione e monitoraggio, si prevede che SD-WAN supererà le capacità di DMVPN/PfR, che si sono evolute dalle tecnologie classiche e si affidano maggiormente alla riga di comando CLI e all’uso di sistemi NMS basati su modelli.
  • Nella SD-WAN, rispetto alla DMVPN, i requisiti di sicurezza hanno raggiunto un livello qualitativo diverso. I principi fondamentali sono zero trust, scalabilità e autenticazione a due fattori.

Queste semplici conclusioni possono dare l’impressione sbagliata che la creazione di una rete basata su DMVPN/PfR abbia perso oggi ogni rilevanza. Questo ovviamente non è del tutto vero. Ad esempio, nei casi in cui la rete utilizza molte apparecchiature obsolete e non è possibile sostituirle, DMVPN può consentire di combinare dispositivi “vecchi” e “nuovi” in un’unica rete geograficamente distribuita con molti dei vantaggi descritti Sopra.

D'altronde va ricordato che tutti gli attuali router aziendali Cisco basati su IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) supportano oggi qualsiasi modalità operativa - sia il routing classico che DMVPN e SD-WAN - la scelta è determinata dalle esigenze attuali e dalla consapevolezza che da un momento all'altro, utilizzando le stesse attrezzature, si potrà iniziare a muoversi verso tecnologie più avanzate.

Fonte: habr.com

Aggiungi un commento