Cisco SD-WAN は、DMVPN が存在するブランチを遮断しますか?

シスコが Viptela を買収した 2017 年 XNUMX 月以来、分散型企業ネットワークを組織するために提供される主要なテクノロジーは、 Cisco SD-WAN。 過去 3 年間で、SD-WAN テクノロジーは質的および量的に多くの変化を遂げました。 したがって、機能が大幅に拡張され、このシリーズのクラシック ルーターがサポートされるようになりました。 Cisco ISR 1000、ISR 4000、ASR 1000、および仮想 CSR 1000v。 同時に、シスコの多くの顧客とパートナーは次のような疑問を抱き続けています。 Cisco SD-WAN と、次のようなテクノロジーに基づくすでによく知られたアプローチとの違いは何ですか? シスコ DMVPN и シスコのパフォーマンス ルーティング そしてこれらの違いはどれほど重要なのでしょうか?

ここで、Cisco ポートフォリオに SD-WAN が登場する前は、DMVPN が PfR とともにアーキテクチャの重要な部分を形成していたということを直ちに留保しておく必要があります。 Cisco IWAN (インテリジェント WAN)、これは本格的な SD-WAN テクノロジーの前身となりました。 解決されるタスクとその解決方法は一般的に類似しているにもかかわらず、IWAN は SD-WAN に必要な自動化、柔軟性、拡張性のレベルを決して得られず、時間の経過とともに IWAN の開発は大幅に減少しました。 同時に、IWAN を構成するテクノロジーは消滅しておらず、多くのお客様が最新の機器を含め、引き続きそれらのテクノロジーをうまく使用し続けています。 その結果、興味深い状況が生じました。同じ Cisco 機器を使用して、顧客の要件と期待に応じて最適な WAN テクノロジー（クラシック、DMVPN+PfR、または SD-WAN）を選択できるようになりました。

この記事は、Cisco SD-WAN および DMVPN テクノロジーのすべての機能（パフォーマンス ルーティングの有無にかかわらず）を詳細に分析することを目的としたものではありません。これについては、入手可能なドキュメントや資料が大量にあります。 主なタスクは、これらのテクノロジー間の主な違いを評価することです。 ただし、これらの違いについて説明する前に、テクノロジー自体を簡単に思い出してみましょう。

Cisco DMVPN とは何ですか? なぜ必要ですか?

Cisco DMVPN は、インターネットなどの任意のタイプの通信チャネルを使用する場合（= 通信チャネルの暗号化を使用する場合）、企業の本社ネットワークへのリモート ブランチ ネットワークの動的（= スケーラブルな）接続の問題を解決します。 技術的には、これは、「スター」タイプ (ハブ アンド スポーク) の論理トポロジを備えたポイントツーマルチポイント モードで L3 VPN クラスの仮想化オーバーレイ ネットワークを作成することによって実現されます。 これを実現するために、DMVPN は次のテクノロジーを組み合わせて使用​​します。

• IPルーティング
• マルチポイント GRE トンネル (mGRE)
• ネクスト ホップ解決プロトコル (NHRP)
• IPSec 暗号化プロファイル

MPLS VPN チャネルを使用したクラシック ルーティングと比較した Cisco DMVPN の主な利点は何ですか?

• ブランチ間ネットワークを作成するには、任意の通信チャネルを使用できます。ブランチ間の IP 接続を提供できるものはすべて適しており、トラフィックは (必要に応じて) 暗号化され、(可能な場合は) バランスがとられます。
• ブランチ間の完全に接続されたトポロジが自動的に形成されます。 同時に、セントラル ブランチとリモート ブランチ間には静的トンネルがあり、リモート ブランチ間にはオンデマンドで動的トンネルが存在します (トラフィックがある場合)。
• セントラルブランチとリモートブランチのルータは、インターフェイスの IP アドレスまで同じ構成になっています。 mGRE を使用すると、数十、数百、さらには数千のトンネルを個別に設定する必要がなくなります。 その結果、適切な設計による適切な拡張性が得られます。

Cisco Performance Routing とは何ですか? なぜ必要ですか?

ブランチ間ネットワークで DMVPN を使用する場合、非常に重要な問題が XNUMX つ未解決のままです。それは、組織にとって重要なトラフィックの要件に準拠するために各 DMVPN トンネルの状態を動的に評価し、そのような評価に基づいて動的にルート変更の決定は？ 実際のところ、この部分の DMVPN は従来のルーティングとほとんど変わりません。実行できる最善の方法は、発信方向のトラフィックに優先順位を付けることを可能にする QoS メカニズムを設定することですが、トラフィックの状態を考慮することはまったくできません。パス全体を一度に実行します。

また、チャネルが完全ではなく部分的に劣化した場合はどうすればよいでしょうか。これをどのように検出して評価するのでしょうか? DMVPN 自体はこれを行うことができません。 ブランチを接続するチャネルが、まったく異なるテクノロジーを使用して、まったく異なる通信事業者を通過する可能性があることを考慮すると、この作業は非常に簡単ではなくなります。 ここで、Cisco Performance Routing テクノロジーが役に立ちます。このテクノロジーは、その時点ですでにいくつかの開発段階を経ていました。

Cisco Performance Routing（以下、PfR）のタスクは、ネットワーク アプリケーションにとって重要な主要なメトリックに基づいて、トラフィックのパス（トンネル）の状態を測定することになります。 遅延、遅延変動 (ジッター)、およびパケット損失 (パーセンテージ)。 さらに、使用されている帯域幅を測定することもできます。 これらの測定は、可能な限りリアルタイムに近い正当な方法で行われ、これらの測定の結果に基づいて、PfR を使用するルータは、特定のタイプのトラフィックのルーティングを変更する必要性について動的に決定できます。

したがって、DMVPN/PfR の組み合わせのタスクは次のように簡単に説明できます。

• 顧客が WAN ネットワーク上のあらゆる通信チャネルを使用できるようにする
• これらのチャネルで重要なアプリケーションの可能な限り最高の品質を確保します

Cisco SD-WAN とは何ですか?

Cisco SD-WAN は、SDN アプローチを使用して組織の WAN ネットワークを作成および運用するテクノロジーです。 これは特に、すべてのソリューション コンポーネントの一元的なオーケストレーションと自動構成を提供する、いわゆるコントローラー (ソフトウェア要素) の使用を意味します。 正規の SDN（クリーン スレート スタイル）とは異なり、Cisco SD-WAN は数種類のコントローラを使用し、それぞれが独自の役割を実行します。これは、より優れたスケーラビリティと地理的冗長性を提供するために意図的に行われました。

SD-WAN の場合、あらゆるタイプのチャネルを使用し、ビジネス アプリケーションの動作を保証するというタスクは変わりませんが、同時に、そのようなネットワークの自動化、スケーラビリティ、セキュリティ、および柔軟性に対する要件が拡大しています。

相違点についての議論

これらのテクノロジーの違いを分析し始めると、それらは次のカテゴリのいずれかに分類されます。

• アーキテクチャの違い - 機能はソリューションのさまざまなコンポーネントにどのように分散され、そのようなコンポーネントの相互作用はどのように組織され、これがテクノロジーの機能や柔軟性にどのような影響を与えるのでしょうか?
• 機能性 – あるテクノロジーでできて、別のテクノロジーではできないことは何ですか? そして、それは本当に重要なのでしょうか？

アーキテクチャ上の違いは何ですか?またそれらは重要ですか?

これらのテクノロジーにはそれぞれ、役割が異なるだけでなく、相互に作用する方法も異なる多くの「可動部分」があります。 これらの原則がどの程度よく考えられているか、およびソリューションの一般的な仕組みが、そのスケーラビリティ、耐障害性、および全体的な効率を直接決定します。

アーキテクチャのさまざまな側面をさらに詳しく見てみましょう。

データプレーン – ソースと受信者間のユーザー トラフィックの送信を担当するソリューションの一部。 DMVPN と SD-WAN は、マルチポイント GRE トンネルに基づいてルータ自体に通常同様に実装されます。 違いは、これらのトンネルに必要なパラメータのセットがどのように形成されるかです。

• в DMVPN/PfR は、スターまたはハブアンドスポーク トポロジを備えたノードの XNUMX レベルのみの階層です。 ハブの静的設定とハブへのスポークの静的バインディングが必要であり、データ プレーン接続を形成するために NHRP プロトコルを介した対話も必要です。 その結果、 ハブへの変更が大幅に困難になるたとえば、新しい WAN チャネルの変更/接続、または既存のチャネルのパラメータの変更に関連します。
• в SD-WAN は、コントロール プレーン (OMP プロトコル) とオーケストレーション プレーン (コントローラー検出および NAT トラバーサル タスクのための vBond コントローラーとの対話) に基づいて、インストールされたトンネルのパラメーターを検出するための完全に動的なモデルです。 この場合、階層型トポロジを含む、任意の重ね合わせトポロジを使用できます。 確立されたオーバーレイ トンネル トポロジ内で、個別の VPN(VRF) ごとに論理トポロジを柔軟に構成できます。

コントロールプレーン – ソリューションコンポーネント間のルーティングやその他の情報の交換、フィルタリング、および変更の機能。

• в DMVPN/PfR – ハブ アンド スポーク ルーター間でのみ実行されます。 スポーク間でルーティング情報を直接交換することはできません。 その結果、 ハブが機能していないと、コントロール プレーンとデータ プレーンは機能できません。これにより、常に満たされるとは限らない追加の高可用性要件がハブに課されます。
• в SD-WAN – コントロール プレーンはルーター間で直接実行されることはありません – インタラクションは OMP プロトコルに基づいて行われ、必然的に別の特殊なタイプの vSmart コントローラーを通じて実行されます。信号負荷。 OMP プロトコルのもう XNUMX つの特徴は、損失に対する大きな耐性と、コントローラーとの通信チャネルの速度から独立していることです (もちろん、合理的な制限内で)。 これにより、SD-WAN コントローラーをパブリック クラウドまたはプライベート クラウドに配置し、インターネット経由でアクセスできるようになります。

ポリシープレーン – 分散ネットワーク上でトラフィック管理ポリシーを定義、配布、適用するソリューションの一部。

• DMVPN – CLI または Prime Infrastructure テンプレートを介して各ルータで個別に設定されたサービス品質（QoS）ポリシーによって効果的に制限されます。
• DMVPN/PfR – PfR ポリシーは、CLI を介して集中型マスター コントローラ（MC）ルータ上で形成され、ブランチ MC に自動的に配布されます。 この場合、データプレーンと同じポリシー転送パスが使用されます。 ポリシー、ルーティング情報、ユーザー データの交換を分離することはできません。 ポリシーの伝播には、ハブとスポークの間に IP 接続が存在する必要があります。 この場合、必要に応じて MC 機能を DMVPN ルーターと組み合わせることができます。 一元的なポリシー生成に Prime Infrastructure テンプレートを使用することは可能です（必須ではありません）。 重要な特徴は、ポリシーがネットワーク全体で同じ方法でグローバルに形成されることです。 個々のセグメントの個別のポリシーはサポートされていません.
• SD-WAN – トラフィック管理とサービス品質ポリシーは、（必要に応じて）インターネット経由でもアクセスできる Cisco vManage グラフィカル インターフェイスを通じて一元的に決定されます。 これらは、シグナリング チャネルを通じて直接、または vSmart コントローラを通じて間接的に (ポリシーの種類に応じて) 配布されます。 これらはルーター間のデータプレーン接続に依存しません。 コントローラとルーター間の利用可能なトラフィック パスをすべて使用します。

  さまざまなネットワーク セグメントに対して、さまざまなポリシーを柔軟に策定することができます。ポリシーの範囲は、ソリューションで提供される多くの一意の識別子 (ブランチ番号、アプリケーション タイプ、トラフィックの方向など) によって決まります。

オーケストレーションプレーン – コンポーネントが相互に動的に検出し、その後の対話を構成および調整できるメカニズム。

• в DMVPN/PfR ルータ間の相互検出は、ハブ デバイスの静的設定と、それに対応するスポーク デバイスの設定に基づいています。 動的検出はスポークに対してのみ発生し、スポークはそのハブ接続パラメータをデバイスに報告し、デバイスはスポークで事前設定されます。 スポークと少なくとも XNUMX つのハブの間に IP 接続がなければ、データ プレーンまたはコントロール プレーンを形成することはできません。
• в SD-WAN ソリューション コンポーネントのオーケストレーションは、vBond コントローラーを使用して行われます。各コンポーネント (ルーターおよび vManage/vSmart コントローラー) は、最初に vBond コントローラーを使用して IP 接続を確立する必要があります。

  当初、コンポーネントは互いの接続パラメータについて知りません。そのためには、vBond 中間オーケストレーターが必要です。 一般的な原理は次のとおりです。初期フェーズの各コンポーネントは、vBond への接続パラメータについてのみ (自動的または静的に) 学習し、その後、vBond は vManage および vSmart コントローラ (前述) についてルーターに通知します。これにより、自動的に接続を確立することが可能になります。必要なすべての信号接続。

  次のステップでは、新しいルーターが vSmart コントローラーとの OMP 通信を通じてネットワーク上の他のルーターについて学習します。 したがって、ルータは、最初はネットワーク パラメータについてまったく知らなくても、コントローラを完全に自動的に検出して接続し、さらに他のルータを自動的に検出して接続を形成することができます。 この場合、すべてのコンポーネントの接続パラメータは最初は不明であり、動作中に変更される可能性があります。

管理プレーン – 集中管理と監視を提供するソリューションの一部。

• DMVPN/PfR – 特殊な管理プレーン ソリューションは提供されません。 基本的な自動化とモニタリングには、Cisco Prime Infrastructure などの製品を使用できます。 各ルーターは、CLI コマンドライン経由で制御できます。 APIによる外部システムとの連携は提供しておりません。
• SD-WAN – すべての定期的な対話と監視は、vManage コントローラのグラフィカル インターフェイスを通じて一元的に実行されます。 ソリューションのすべての機能は例外なく、vManage および完全に文書化された REST API ライブラリを通じて構成できます。

  vManage のすべての SD-WAN ネットワーク設定は、デバイス テンプレート (デバイス テンプレート) の形成と、ネットワーク操作とトラフィック処理のロジックを決定するポリシーの形成という XNUMX つの主要な構成要素に集約されます。 同時に、管理者が生成したポリシーをブロードキャストする vManage は、どの変更をどの個別のデバイス/コントローラーに対して行う必要があるかを自動的に選択します。これにより、ソリューションの効率と拡張性が大幅に向上します。

  vManage インターフェイスを通じて、Cisco SD-WAN ソリューションの設定だけでなく、個々のトンネルのメトリックの現在の状態やさまざまなアプリケーションの使用に関する統計に至るまで、ソリューションのすべてのコンポーネントのステータスを完全に監視することもできます。 DPI分析に基づいています。

  インタラクションの一元化にも関わらず、すべてのコンポーネント (コントローラーとルーター) には、完全に機能する CLI コマンド ラインも備えています。これは、実装段階や緊急時のローカル診断に必要です。 ルーター上の通常モード (コンポーネント間に信号チャネルがある場合) では、コマンド ラインは診断にのみ使用でき、ローカルの変更には使用できません。これにより、ローカルのセキュリティが保証され、そのようなネットワークでの変更の唯一のソースは vManage です。

統合セキュリティ – ここでは、オープン チャネル経由で送信されるユーザー データの保護だけでなく、選択したテクノロジーに基づく WAN ネットワーク全体のセキュリティについても話し合う必要があります。

• в DMVPN/PfR ユーザーデータとシグナリングプロトコルを暗号化することが可能です。 特定のルーターモデルを使用する場合、トラフィック検査、IPS/IDS を備えたファイアウォール機能が追加で利用可能です。 VRF を使用してブランチ ネットワークをセグメント化することができます。 (一要素) 制御プロトコルを認証することが可能です。

  この場合、リモート ルーターはデフォルトでネットワークの信頼できる要素とみなされます。 個々のデバイスの物理的侵害のケースやそれらへの不正アクセスの可能性は想定または考慮されていません。地理的に分散したネットワークの場合、ソリューション コンポーネントの XNUMX 要素認証はありません。 重大な追加リスクを伴う可能性があります。

• в SD-WAN DMVPN と同様に、ユーザー データを暗号化する機能が提供されますが、大幅に拡張されたネットワーク セキュリティと L3/VRF セグメンテーション機能 (ファイアウォール、IPS/IDS、URL フィルタリング、DNS フィルタリング、AMP/TG、SASE、TLS/SSL プロキシ、など） d.）。 同時に、暗号化キーの交換は、セキュリティ証明書に基づく DTLS/TLS 暗号化によって保護された事前に確立された信号チャネルを通じて (直接ではなく) vSmart コントローラーを介してより効率的に実行されます。 これにより、そのような交換のセキュリティが保証され、同じネットワーク上の最大数万台のデバイスに対するソリューションの拡張性が向上します。

  すべてのシグナリング接続 (コントローラーからコントローラー、コントローラーからルーター) も DTLS/TLS に基づいて保護されます。 ルーターには、交換/拡張の可能性を備えた製造時に安全証明書が装備されています。 XNUMX 要素認証は、ルーター/コントローラーが SD-WAN ネットワークで機能するための XNUMX つの条件を必須かつ同時に満たすことで実現されます。

  • 有効なセキュリティ証明書
  • 許可されたデバイスの「ホワイト」リストに各コンポーネントを管理者が明示的かつ意識的に含めること。

SD-WAN と DMVPN/PfR の機能の違い

機能の違いの説明に移りますが、機能の違いの多くはアーキテクチャ上の違いの継続であることに注意する必要があります。ソリューションのアーキテクチャを形成する際、開発者が最終的に取得したい機能から始めることは周知の事実です。 XNUMX つのテクノロジーの最も重要な違いを見てみましょう。

AppQ (Application Quality) – ビジネスアプリケーショントラフィックの伝送品質を保証する機能

検討中のテクノロジーの主要な機能は、分散ネットワークでビジネス クリティカルなアプリケーションを使用する際のユーザー エクスペリエンスを可能な限り向上させることを目的としています。 これは、インフラストラクチャの一部が IT によって制御されていないか、データ転送の成功さえ保証されていない状況では特に重要です。

DMVPN 自体はそのようなメカニズムを提供しません。 従来の DMVPN ネットワークで実行できる最善の方法は、送信トラフィックをアプリケーションごとに分類し、WAN チャネルに送信するときに優先順位を付けることです。 この場合、DMVPN トンネルの選択は、その可用性とルーティング プロトコルの動作の結果によってのみ決定されます。 同時に、パス/トンネルのエンドツーエンドの状態と、その可能性のある部分的な劣化は、ネットワーク アプリケーションにとって重要な主要な指標である遅延、遅延変動 (ジッター)、損失 (%) に関して考慮されていません。 ）。 この点に関して、AppQ の問題を解決するという点で従来の DMVPN と SD-WAN を直接比較することはまったく意味を失います。DMVPN はこの問題を解決できません。 このコンテキストに Cisco Performance Routing（PfR）テクノロジーを追加すると、状況が変わり、Cisco SD-WAN との比較がより意味のあるものになります。

違いについて説明する前に、これらのテクノロジーがどのように似ているかを簡単に説明します。 したがって、両方のテクノロジーは次のようになります。

• 確立された各トンネルの状態を特定のメトリクス (少なくとも、遅延、遅延変動、パケット損失 (%)) に基づいて動的に評価できるメカニズムを備えています。
• 特定のツール セットを使用して、主要なトンネル メトリックの状態の測定結果を考慮して、トラフィック管理ルール (ポリシー) を作成、配布、および適用します。
• OSI モデルのレベル L3 ～ L4 (DSCP)、またはルータに組み込まれた DPI メカニズムに基づく L7 アプリケーション署名によってアプリケーション トラフィックを分類します。
• 重要なアプリケーションの場合、メトリクスの許容可能なしきい値、デフォルトでのトラフィック送信のルール、およびしきい値を超えた場合のトラフィックの再ルーティングのルールを決定できます。
• GRE/IPSec でトラフィックをカプセル化する場合、すでに確立されている業界メカニズムを使用して、内部 DSCP マーキングを外部 GRE/IPSEC パケット ヘッダーに転送します。これにより、組織と通信事業者の QoS ポリシーを同期できます (適切な SLA がある場合)。 。

SD-WAN と DMVPN/PfR のエンドツーエンド メトリックはどのように異なりますか?

DMVPN/PfR

• アクティブおよびパッシブの両方のソフトウェア センサー (プローブ) を使用して、標準のトンネルの健全性メトリックを評価します。 アクティブなものはユーザー トラフィックに基づいており、パッシブなものはそのようなトラフィック (存在しない場合) をエミュレートします。
• タイマーや劣化検出条件を微調整する必要はなく、アルゴリズムは固定されています。
• さらに、送信方向の使用帯域幅の測定も可能です。 これにより、DMVPN/PfR にトラフィック管理の柔軟性がさらに追加されます。
• 同時に、一部の PfR メカニズムは、メトリックを超過した場合、トラフィック受信者から送信元に向けて送信される必要がある特別な TCA（しきい値超過アラート）メッセージの形式でのフィードバック シグナリングに依存します。測定されたチャネルは、少なくともそのような TCA メッセージの送信には十分である必要があります。 ほとんどの場合、これは問題ではありませんが、明らかに保証はできません。

SD-WAN

• 標準のトンネル状態メトリックのエンドツーエンド評価では、BFD プロトコルがエコー モードで使用されます。 この場合、TCA または同様のメッセージの形式での特別なフィードバックは必要ありません。障害ドメインの分離は維持されます。 また、トンネルの状態を評価するためにユーザー トラフィックが存在する必要もありません。
• BFD タイマーを微調整して、通信チャネルの劣化に対するアルゴリズムの応答速度と感度を数秒から数分まで調整することができます。

  

• この記事の執筆時点では、各トンネルには BFD セッションが 2 つだけあります。 これにより、トンネル状態分析の粒度が低下する可能性があります。 実際には、これが制限となるのは、合意された QoS SLA を備えた MPLS L3/LXNUMX VPN に基づく WAN 接続を使用する場合、つまり BFD トラフィックの DSCP マーキング (IPSec/GRE でのカプセル化後) が、IPSec/GRE の高優先度キューと一致する場合のみです。通信事業者のネットワークに影響を与えると、優先度の低いトラフィックの劣化検出の精度と速度に影響を与える可能性があります。 同時に、デフォルトの BFD ラベルを変更して、そのような状況のリスクを軽減することができます。 Cisco SD-WAN ソフトウェアの将来のバージョンでは、より微調整された BFD 設定に加えて、（さまざまなアプリケーション向けに）個別の DSCP 値を使用して同じトンネル内で複数の BFD セッションを起動できる機能が期待されています。
• さらに、BFD を使用すると、断片化せずに特定のトンネルを介して送信できる最大パケット サイズを見積もることができます。 これにより、SD-WAN は MTU や TCP MSS Adjust などのパラメータを動的に調整して、各リンクで利用可能な帯域幅を最大限に活用できます。
• SD-WAN では、通信事業者による QoS 同期のオプションも利用できます。これは、L3 DSCP フィールドだけでなく、IP などの特殊なデバイスによってブランチ ネットワークで自動的に生成できる L2 CoS 値にも基づいています。電話

AppQ ポリシーの定義と適用の機能、方法はどのように異なりますか?

DMVPN/PfR ポリシー:

• CLI コマンド ラインまたは CLI 設定テンプレートを介して中央ブランチ ルータで定義されます。 CLI テンプレートを生成するには、準備とポリシー構文の知識が必要です。

  

• グローバルに定義 個々のネットワークセグメントの要件を個別に構成/変更する必要がありません。
• 対話型のポリシー生成は、グラフィカル インターフェイスでは提供されません。
• 変更の追跡、継承、および迅速な切り替えのための複数バージョンのポリシーの作成は提供されません。
• リモート支店のルーターに自動的に配信されます。 この場合、ユーザーデータの送信と同じ通信チャネルが使用されます。 中央ブランチとリモートブランチの間に通信チャネルがない場合、ポリシーの配布/変更は不可能です。
• これらは各ルーターで使用され、必要に応じて、より高い優先順位を持つ標準ルーティング プロトコルの結果を変更します。
• すべてのブランチ WAN リンクで重大なトラフィック損失が発生した場合、 補償メカニズムは提供されていない.

SD-WAN ポリシー:

• インタラクティブなテンプレート ウィザードを使用して vManage GUI で定義します。
• 複数のポリシーの作成、コピー、継承、リアルタイムでのポリシー間の切り替えをサポートします。
• さまざまなネットワーク セグメント (ブランチ) の個別のポリシー設定をサポート
• これらは、コントローラーとルーターおよび/または vSmart の間で利用可能な信号チャネルを使用して分散されます。ルーター間のデータ プレーン接続には直接依存しません。 もちろん、これにはルーター自体とコントローラー間の IP 接続が必要です。

  

• ブランチの利用可能なすべてのブランチで、重要なアプリケーションの許容しきい値を超える重大なデータ損失が発生した場合、送信の信頼性を高める追加のメカニズムを使用することができます。
  • FEC (前方誤り訂正) – 特別な冗長コーディング アルゴリズムを使用します。 かなりの割合で損失が発生する重要なトラフィックをチャネル経由で送信する場合、FEC が自動的にアクティブ化され、必要に応じてデータの損失部分を復元できます。 これにより、使用される伝送帯域幅がわずかに増加しますが、信頼性は大幅に向上します。

    

  • データストリームの重複 – FEC に加えて、このポリシーは、FEC では補償できないさらに深刻なレベルの損失が発生した場合に、選択したアプリケーションのトラフィックの自動複製を提供できます。 この場合、選択されたデータは、すべてのトンネルを介して受信ブランチに送信され、その後の重複排除 (パケットの余分なコピーのドロップ) が行われます。 このメカニズムにより、チャネルの使用率が大幅に増加しますが、送信の信頼性も大幅に向上します。

DMVPN/PfR に直接類似する機能を持たない Cisco SD-WAN 機能

Cisco SD-WAN ソリューションのアーキテクチャでは、場合によっては、DMVPN/PfR 内で実装するのが非常に難しい機能や、必要な人件費のせいで非現実的、またはまったく不可能な機能を取得できます。 その中で最も興味深いものを見てみましょう。

トラフィック エンジニアリング (TE)

TE には、ルーティング プロトコルによって形成された標準パスからトラフィックを分岐できるようにするメカニズムが含まれています。 TE は、障害発生時のサービス品質や回復速度の向上を確保するために、重要なトラフィックを迅速かつ/または積極的に代替の (独立した) 伝送パスに転送する機能を通じて、ネットワーク サービスの高可用性を確保するためによく使用されます。メインパス上。

TE の実装の難しさは、代替パスを事前に計算して予約 (確認) する必要があることです。 通信事業者の MPLS ネットワークでは、IGP プロトコルや RSVP プロトコルを拡張した MPLS トラフィック エンジニアリングなどのテクノロジーを使用して、この問題を解決します。 また、最近では、一元的な構成とオーケストレーション向けにさらに最適化されたセグメント ルーティング テクノロジーの人気が高まっています。 従来の WAN ネットワークでは、これらのテクノロジーは通常は表現されないか、トラフィックを分岐できるポリシーベース ルーティング (PBR) などのホップバイホップ メカニズムの使用に限定されていますが、これを各ルーターに個別に実装します。前後のステップでのネットワークまたは PBR の全体的な状態を考慮します。 これらの TE オプションを使用した結果は残念なものです。MPLS TE は、設定と運用の複雑さのため、原則としてネットワークの最も重要な部分 (コア) でのみ使用され、PBR は個別のルーターで使用されます。ネットワーク全体に統合された PBR ポリシーを作成する機能。 明らかに、これは DMVPN ベースのネットワークにも当てはまります。

この点で、SD-WAN は、構成が簡単なだけでなく、より優れた拡張性を備えた、より洗練されたソリューションを提供します。 これは、使用されるコントロール プレーンとポリシー プレーンのアーキテクチャの結果です。 SD-WAN にポリシー プレーンを実装すると、どのトラフィックが対象となるかなど、TE ポリシーを一元的に定義できます。 どのVPNに対応していますか？ どのノード/トンネルを経由して代替ルートを形成する必要があるか、または逆に禁止されていますか? さらに、vSmart コントローラに基づくコントロール プレーン管理の一元化により、個々のデバイスの設定に頼ることなくルーティング結果を変更できるようになります。ルーターには、vManage インターフェイスで生成され、使用するために転送されたロジックの結果のみがすでに表示されています。 vスマート。

サービスチェーン

従来のルーティングでは、サービス チェーンの形成は、すでに説明したトラフィック エンジニアリング メカニズムよりもさらに労働集約的なタスクです。 実際、この場合、特定のネットワーク アプリケーション用に特別なルートを作成するだけでなく、SD-WAN ネットワークの特定 (またはすべて) ノード上のネットワークからトラフィックを削除して処理できるようにする必要もあります。特別なアプリケーションまたはサービス (ファイアウォール、バランシング、キャッシング、検査トラフィックなど)。 同時に、ブラックホール状況を防ぐためにこれらの外部サービスの状態を制御できる必要があり、同じ種類の外部サービスを異なる地理的位置に配置できるメカニズムも必要です。特定のブランチのトラフィックを処理するために最適なサービス ノードを自動的に選択するネットワークの機能を備えています。 Cisco SD-WAN の場合、これは、ターゲット サービス チェーンのすべての側面を XNUMX つの全体に「接着」し、必要な場合にのみデータ プレーンとコントロール プレーンのロジックを自動的に変更する適切な集中ポリシーを作成することで非常に簡単に実現できます。そして必要なとき。

特殊な（ただし、SD-WAN ネットワーク自体には関係しない）機器上で、特定のシーケンスで選択したタイプのアプリケーションのトラフィックの地理分散処理を作成できる機能は、おそらく従来の Cisco SD-WAN に対する Cisco SD-WAN の利点を最も明確に示しています。テクノロジー、さらには他のメーカーの代替 SD ソリューション (WAN) も含まれます。

その結果は？

明らかに、DMVPN（パフォーマンス ルーティングの有無にかかわらず）と Cisco SD-WAN の両方 結局非常に似たような問題を解決することになる 組織の分散 WAN ネットワークに関連して。 同時に、Cisco SD-WAN テクノロジーのアーキテクチャと機能の大きな違いが、これらの問題を解決するプロセスにつながります。 別の品質レベルへ。 要約すると、SD-WAN テクノロジーと DMVPN/PfR テクノロジーの間には次の大きな違いがあることがわかります。

• DMVPN/PfR は一般に、オーバーレイ VPN ネットワークの構築に実績のあるテクノロジーを使用しており、データ プレーンの観点からは、より最新の SD-WAN テクノロジーに似ていますが、必須の静的構成という形で多くの制限があります。ルータの数が制限され、トポロジの選択はハブ アンド スポークに限定されます。 一方、DMVPN/PfR には、SD-WAN 内ではまだ利用できない機能がいくつかあります（アプリケーションごとの BFD について話しています）。
• コントロール プレーン内では、テクノロジーは根本的に異なります。 シグナリング プロトコルの集中処理を考慮すると、SD-WAN では、特に障害ドメインを大幅に絞り込み、ユーザー トラフィックの送信プロセスをシグナリング インタラクションから「切り離す」ことができます。コントローラが一時的に利用できなくなっても、ユーザー トラフィックの送信能力には影響しません。 。 同時に、いずれかのブランチ (中央ブランチを含む) が一時的に利用できなくなっても、他のブランチが相互にやり取りしたり、コントローラーと対話したりする能力にはまったく影響しません。
• SD-WAN の場合のトラフィック管理ポリシーの形成と適用のアーキテクチャも、DMVPN/PfR のアーキテクチャよりも優れています。地理的予約がはるかに適切に実装されており、ハブへの接続がなく、詳細なトラフィック管理ポリシーを適用する機会が増えています。 - チューニング ポリシーに加えて、実装されたトラフィック管理シナリオのリストも大幅に増加しました。
• ソリューション オーケストレーション プロセスも大きく異なります。 DMVPN は、何らかの方法で設定に反映する必要がある既知のパラメータの存在を前提としているため、ソリューションの柔軟性と動的な変更の可能性がある程度制限されます。 一方、SD-WAN は、接続の最初の瞬間には、ルーターはコントローラーについて「何も知らない」が、「誰に質問できるか」は知っているというパラダイムに基づいています。これは、自動的に通信を確立するだけでなく、コントローラーだけでなく、完全に接続されたデータ プレーン トポロジも自動的に形成され、ポリシーを使用して柔軟に構成/変更できます。
• 集中管理、自動化、モニタリングの点で、SD-WAN は DMVPN/PfR の機能を上回ると期待されています。DMVPN/PfR は従来のテクノロジーから進化し、CLI コマンド ラインとテンプレート ベースの NMS システムの使用に大きく依存しています。
• SD-WAN では、DMVPN と比較して、セキュリティ要件は異なる質的レベルに達しています。 主な原則は、ゼロトラスト、スケーラビリティ、および XNUMX 要素認証です。

これらの単純な結論は、DMVPN/PfR に基づいたネットワークの構築が今日ではまったく意味を失っているという誤った印象を与える可能性があります。 もちろん、これは完全に真実ではありません。 たとえば、ネットワークで多くの古い機器が使用されており、それを交換する方法がない場合、DMVPN を使用すると、「古い」デバイスと「新しい」デバイスを単一の地理分散ネットワークに組み合わせることができ、前述した多くの利点が得られます。その上。

一方、IOS XE (ISR 1000、ISR 4000、ASR 1000、CSR 1000v) をベースとする現在の Cisco 企業ルータはすべて、現在、クラシック ルーティングと DMVPN および SD-WAN の両方のあらゆる動作モードをサポートしていることを覚えておく必要があります。 選択は、現在のニーズと、同じ機器を使用していつでもより高度なテクノロジーに移行できるという理解によって決まります。

出所： habr.com