ProHoster > Блог > Administrasi > Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Wiwit Agustus 2017, nalika Cisco entuk Viptela, teknologi utama sing ditawakake kanggo ngatur jaringan perusahaan sing disebarake wis dadi Cisco SD-WAN. Swara 3 taun kepungkur, teknologi SD-WAN wis ngalami akeh owah-owahan, kualitatif lan kuantitatif. Mangkono, fungsi kasebut saya tambah akeh lan dhukungan wis muncul ing router klasik seri kasebut Cisco ISR 1000, ISR 4000, ASR 1000 lan Virtual CSR 1000v. Ing wektu sing padha, akeh pelanggan lan mitra Cisco terus mikir: apa sing beda antarane Cisco SD-WAN lan pendekatan wis menowo adhedhasar teknologi kayata Cisco DMVPN и Cisco Performance Routing lan sepira pentinge bedane iki?

Ing kene kita kudu langsung nggawe reservasi yen sadurunge tekane SD-WAN ing portofolio Cisco, DMVPN bebarengan karo PfR dadi bagean penting ing arsitektur. Cisco IWAN (Intelligent WAN), sing dadi pendahulu teknologi SD-WAN sing lengkap. Senadyan persamaan umum saka tugas sing ditanggulangi lan cara kanggo ngrampungake, IWAN ora tau nampa tingkat otomatisasi, keluwesan lan skalabilitas sing dibutuhake kanggo SD-WAN, lan suwe-suwe, pangembangan IWAN saya suda. Ing wektu sing padha, teknologi sing nggawe IWAN durung ilang, lan akeh pelanggan sing terus nggunakake kanthi sukses, kalebu peralatan modern. Akibaté, ana kahanan menarik - peralatan Cisco padha ngijini sampeyan kanggo milih teknologi WAN paling cocok (klasik, DMVPN + PfR utawa SD-WAN) sesuai karo syarat lan pangarepan pelanggan.

Artikel ora arep njelasno ing rinci kabeh fitur saka Cisco SD-WAN lan teknologi DMVPN (nganggo utawa tanpa Performance Routing) - ana jumlah ageng saka dokumen lan bahan kasedhiya kanggo iki. Tugas utama yaiku nyoba ngevaluasi prabédan utama ing antarane teknologi kasebut. Nanging sadurunge nerusake kanggo ngrembug beda-beda iki, ayo padha ngelingi sedhela teknologi dhewe.

Apa Cisco DMVPN lan kenapa perlu?

Cisco DMVPN ngatasi masalah sambungan dinamis (= keukur) saka jaringan cabang remot menyang jaringan kantor pusat perusahaan nalika nggunakake jinis saluran komunikasi sing sewenang-wenang, kalebu Internet (= karo enkripsi saluran komunikasi). Secara teknis, iki diwujudake kanthi nggawe jaringan overlay virtual saka kelas L3 VPN ing mode point-to-multipoint kanthi topologi logis saka jinis "Star" (Hub-n-Spoke). Kanggo nggayuh iki, DMVPN nggunakake kombinasi teknologi ing ngisor iki:

  • routing IP
  • Terowongan GRE Multipoint (mGRE)
  • Sabanjure Hop Resolution Protocol (NHRP)
  • IPSec Crypto profil

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Apa kaluwihan utama Cisco DMVPN dibandhingake karo rute klasik nggunakake saluran MPLS VPN?

  • Kanggo nggawe jaringan interbranch, sampeyan bisa nggunakake saluran komunikasi apa wae - apa wae sing bisa nyedhiyakake konektivitas IP antarane cabang cocok, dene lalu lintas bakal dienkripsi (yen perlu) lan seimbang (yen bisa).
  • Topologi sing disambungake kanthi otomatis ing antarane cabang dibentuk kanthi otomatis. Ing wektu sing padha, ana terowongan statis ing antarane cabang tengah lan terpencil, lan terowongan dinamis sing dikarepake ing antarane cabang sing adoh (yen ana lalu lintas)
  • Router saka cabang tengah lan remot duwe konfigurasi sing padha nganti alamat IP antarmuka. Kanthi nggunakake mGRE, ora perlu ngatur dhewe puluhan, atusan utawa malah ewonan trowongan. Akibaté, skalabilitas sing apik kanthi desain sing tepat.

Apa Cisco Performance Routing lan apa iku perlu?

Nalika nggunakake DMVPN ing jaringan antar cabang, siji pitakonan sing penting banget tetep ora ditanggulangi - kepiye cara ngevaluasi kanthi dinamis kahanan saben terowongan DMVPN kanggo tundhuk karo syarat lalu lintas sing kritis kanggo organisasi kita lan, maneh, adhedhasar penilaian kasebut, kanthi dinamis nggawe kaputusan ing rerouting? Kasunyatane yaiku DMVPN ing bagean iki ora beda karo rute klasik - sing paling apik sing bisa ditindakake yaiku ngatur mekanisme QoS sing bakal ngidini sampeyan menehi prioritas lalu lintas menyang arah sing metu, nanging ora bisa nggatekake kahanan kasebut. kabeh path ing siji wektu utawa liyane.

Lan apa sing kudu ditindakake yen saluran kasebut rusak sebagian lan ora rampung - kepiye carane ndeteksi lan ngevaluasi iki? DMVPN dhewe ora bisa nindakake iki. Ngelingi manawa saluran sing nyambungake cabang bisa ngliwati operator telekomunikasi sing beda-beda, nggunakake teknologi sing beda-beda, tugas iki dadi ora pati penting. Lan iki ngendi teknologi Cisco Performance Routing teka kanggo ngluwari, sing wektu iku wis liwat sawetara orane tumrap sekolah pembangunan.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Tugas Cisco Performance Routing (sabanjuré PfR) teka kanggo ngukur status jalur (terowongan) lalu lintas adhedhasar metrik kunci sing penting kanggo aplikasi jaringan - latensi, variasi latensi (jitter) lan mundhut paket (persentase). Kajaba iku, bandwidth sing digunakake bisa diukur. Pangukuran kasebut kedadeyan paling cedhak karo wektu nyata lan bisa ditindakake kanthi adil, lan asil pangukuran kasebut ngidini router nggunakake PfR nggawe keputusan kanthi dinamis babagan kudu ngganti rute saka lalu lintas iki utawa jinis kasebut.

Dadi, tugas kombinasi DMVPN/PfR bisa diterangake kanthi ringkes kaya ing ngisor iki:

  • Ngidini pelanggan nggunakake saluran komunikasi apa wae ing jaringan WAN
  • Priksa manawa kualitas aplikasi kritis sing paling dhuwur ing saluran kasebut

Apa Cisco SD-WAN?

Cisco SD-WAN minangka teknologi sing nggunakake pendekatan SDN kanggo nggawe lan ngoperasikake jaringan WAN organisasi. Iki tegese nggunakake pengontrol sing disebut (unsur piranti lunak), sing nyedhiyakake orkestrasi terpusat lan konfigurasi otomatis kabeh komponen solusi. Boten kados SDN canonical (Gaya Slate Bersih), Cisco SD-WAN nggunakake sawetara jinis pengontrol, saben-saben nindakake peran dhewe - iki ditindakake kanthi sengaja kanggo nyedhiyakake skalabilitas lan geo-redundansi sing luwih apik.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Ing kasus SD-WAN, tugas nggunakake saluran apa wae lan mesthekake operasi aplikasi bisnis tetep padha, nanging ing wektu sing padha, syarat kanggo otomatisasi, skalabilitas, keamanan lan keluwesan jaringan kasebut berkembang.

Dhiskusi beda

Yen saiki kita miwiti nganalisa beda antarane teknologi kasebut, bakal dadi salah sawijining kategori ing ngisor iki:

  • Beda arsitektur - kepiye fungsi disebarake ing macem-macem komponen solusi, kepiye interaksi komponen kasebut diatur, lan kepiye pengaruhe kemampuan lan keluwesan teknologi kasebut?
  • Fungsi - apa sing bisa ditindakake dening teknologi sing ora bisa ditindakake? Lan apa iku pancene penting?

Apa bedane arsitektur lan penting?

Saben teknologi kasebut nduweni akeh "bagean obah" sing beda-beda ora mung ing peran, nanging uga babagan cara sesambungan karo siji liyane. Sepira prinsip kasebut dipikirake lan mekanika umum solusi langsung nemtokake skalabilitas, toleransi kesalahan lan efisiensi sakabèhé.

Ayo ndeleng macem-macem aspek arsitektur kanthi luwih rinci:

Data-bidang - bagean saka solusi sing tanggung jawab kanggo ngirim lalu lintas pangguna antarane sumber lan panampa. DMVPN lan SD-WAN dileksanakake umume identik ing router dhewe adhedhasar terowongan Multipoint GRE. Bentenane yaiku carane paramèter sing dibutuhake kanggo terowongan kasebut dibentuk:

  • в DMVPN/PfR minangka hirarki simpul eksklusif rong tingkat kanthi topologi Star utawa Hub-n-Spoke. Konfigurasi statis saka Hub lan ikatan statis Spoke to Hub dibutuhake, uga interaksi liwat protokol NHRP kanggo mbentuk konektivitas pesawat data. Akibate, nggawe owahan kanggo Hub Ngartekno luwih angelgegandhengan, contone, kanggo ngganti / nyambungake saluran WAN anyar utawa ngganti paramèter saka ana.
  • в SD WAN punika model kanthi dinamis kanggo ndeteksi paramèter trowongan diinstal adhedhasar kontrol-bidang (protokol OMP) lan orkestrasi-bidang (interaksi karo vBond controller kanggo deteksi controller lan tugas traversal NAT). Ing kasus iki, sembarang topologi superimposed bisa digunakake, kalebu hirarkis. Ing topologi terowongan overlay sing ditetepake, konfigurasi fleksibel topologi logis ing saben VPN(VRF) individu bisa uga.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Kontrol-pesawat - fungsi ijol-ijolan, nyaring lan modifikasi rute lan informasi liyane ing antarane komponen solusi.

  • в DMVPN/PfR – digawa metu mung antarane Hub lan Spoke router. Exchange langsung informasi nuntun antarane Spokes ora bisa. Akibate, Tanpa Hub sing bisa digunakake, bidang kontrol lan bidang data ora bisa dienggo, sing nemtokke syarat kasedhiyan dhuwur tambahan ing Hub sing ora bisa tansah ketemu.
  • в SD WAN - kontrol-pesawat ora nate ditindakake langsung ing antarane router - interaksi dumadi adhedhasar protokol OMP lan kudu ditindakake liwat jinis pengontrol vSmart khusus sing kapisah, sing menehi kemungkinan keseimbangan, geo-reservasi lan kontrol terpusat saka beban sinyal. Fitur liyane saka protokol OMP yaiku resistensi sing signifikan kanggo kerugian lan kamardikan saka kacepetan saluran komunikasi karo pengontrol (ing watesan sing cukup, mesthi). Sing merata kasil ngidini sampeyan nyeleh pengontrol SD-WAN ing awan umum utawa pribadi kanthi akses liwat Internet.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Kabijakan-bidang - bagean saka solusi sing tanggung jawab kanggo nemtokake, nyebarake lan ngetrapake kabijakan manajemen lalu lintas ing jaringan sing disebarake.

  • DMVPN - diwatesi kanthi efektif dening kabijakan kualitas layanan (QoS) sing dikonfigurasi kanthi individu ing saben router liwat template CLI utawa Prime Infrastructure.
  • DMVPN/PfR - Kawicaksanan PfR dibentuk ing router Master Controller (MC) terpusat liwat CLI lan banjur disebarake kanthi otomatis menyang MC cabang. Ing kasus iki, path transfer kabijakan padha digunakake kanggo data-bidang. Ora ana kamungkinan kanggo misahake ijol-ijolan kabijakan, informasi rute lan data pangguna. Panyebaran kebijakan mbutuhake anané konektivitas IP antarane Hub lan Spoke. Ing kasus iki, fungsi MC bisa, yen perlu, digabungake karo router DMVPN. Sampeyan bisa (nanging ora dibutuhake) nggunakake template Prime Infrastructure kanggo generasi kabijakan terpusat. Fitur penting yaiku kabijakan kasebut dibentuk sacara global ing saindenging jaringan kanthi cara sing padha - Kabijakan individu kanggo segmen individu ora didhukung.
  • SD WAN – Manajemen lalu lintas lan kualitas kawicaksanan layanan ditemtokake tengah liwat Cisco vManage antarmuka grafis, diakses uga liwat Internet (yen perlu). Padha disebarake liwat saluran sinyal langsung utawa ora langsung liwat pengontrol vSmart (gumantung saka jinis kabijakan). Padha ora gumantung ing panyambungan data-bidang antarane router, amarga gunakake kabeh jalur lalu lintas sing kasedhiya ing antarane pengontrol lan router.

    Kanggo macem-macem segmen jaringan, bisa kanthi fleksibel ngrumusake kabijakan sing beda - ruang lingkup kabijakan kasebut ditemtokake dening akeh pengenal unik sing kasedhiya ing solusi - nomer cabang, jinis aplikasi, arah lalu lintas, lsp.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Orkestrasi-pesawat - mekanisme sing ngidini komponen kanggo dinamis ndeteksi saben liyane, ngatur lan koordinasi interaksi sakteruse.

  • в DMVPN/PfR Penemuan bebarengan antarane router adhedhasar konfigurasi statis piranti Hub lan konfigurasi piranti Spoke sing cocog. Penemuan dinamis mung dumadi kanggo Spoke, sing nglaporake paramèter sambungan Hub menyang piranti kasebut, sing wis dikonfigurasi karo Spoke. Tanpa panyambungan IP antarane Spoke lan paling ora siji Hub, ora bisa mbentuk pesawat data utawa pesawat kontrol.
  • в SD WAN orkestrasi komponen solusi dumadi nggunakake controller vBond, karo saben komponèn (router lan vManage / vSmart pengontrol) pisanan kudu netepake panyambungan IP.

    Kaping pisanan, komponen ora ngerti babagan paramèter sambungan saben liyane - iki mbutuhake orkestra perantara vBond. Ing asas umum minangka nderek - saben komponèn ing phase dhisikan sinau (otomatis utawa statis) mung bab paramèter sambungan kanggo vBond, banjur vBond informs router bab vManage lan vSmart pengontrol (ditemokake sadurungé), kang ndadekake iku bisa kanggo otomatis netepake. kabeh sambungan signaling perlu.

    Langkah sabanjure yaiku router anyar sinau babagan router liyane ing jaringan liwat komunikasi OMP karo pengontrol vSmart. Mangkono, router, tanpa ngerti apa-apa babagan paramèter jaringan, bisa kanthi otomatis ndeteksi lan nyambung menyang pengontrol lan banjur kanthi otomatis ndeteksi lan mbentuk konektivitas karo router liyane. Ing kasus iki, paramèter sambungan kabeh komponen wiwitane ora dingerteni lan bisa diganti sajrone operasi.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Manajemen-pesawat - bagean saka solusi sing nyedhiyakake manajemen lan pemantauan terpusat.

  • DMVPN/PfR - ora ana solusi manajemen-pesawat khusus sing diwenehake. Kanggo otomatisasi lan ngawasi dhasar, produk kayata Cisco Prime Infrastructure bisa digunakake. Saben router nduweni kemampuan kanggo dikontrol liwat baris perintah CLI. Integrasi karo sistem eksternal liwat API ora kasedhiya.
  • SD WAN - kabeh interaksi biasa lan ngawasi wis digawa metu tengah liwat antarmuka grafis saka vManage controller. Kabeh fitur saka solusi, tanpa istiméwa, kasedhiya kanggo konfigurasi liwat vManage, uga liwat perpustakaan REST API sing didokumentasikake kanthi lengkap.

    Kabeh setelan jaringan SD-WAN ing vManage mudhun kanggo loro mbangun utama - tatanan saka Cithakan piranti (Cithakan Piranti) lan tatanan saka kawicaksanan sing nemtokake logika saka operasi jaringan lan Processing lalu lintas. Ing wektu sing padha, vManage, nyiarake kabijakan sing digawe dening administrator, kanthi otomatis milih owah-owahan lan piranti / pengontrol individu sing kudu ditindakake, sing nambah efisiensi lan skalabilitas solusi kanthi signifikan.

    Liwat antarmuka vManage, ora mung konfigurasi saka solusi Cisco SD-WAN kasedhiya, nanging uga ngawasi lengkap status kabeh komponen saka solusi, mudhun kanggo negara saiki metrik kanggo Tunnel individu lan statistik ing nggunakake macem-macem aplikasi. adhedhasar analisis DPI.

    Senadyan sentralisasi interaksi, kabeh komponen (pengontrol lan router) uga duwe baris perintah CLI kanthi fungsional, sing perlu ing tahap implementasine utawa yen ana darurat kanggo diagnostik lokal. Ing mode normal (yen ana saluran signaling antarane komponen) ing router, baris printah kasedhiya mung kanggo diagnostik lan ora kasedhiya kanggo owah-owahan lokal, kang njamin keamanan lokal lan mung sumber owah-owahan ing jaringan kuwi vManage.

Keamanan Integrasi - ing kene kita kudu ngomong ora mung babagan proteksi data pangguna nalika dikirim liwat saluran sing mbukak, nanging uga babagan keamanan sakabèhé jaringan WAN adhedhasar teknologi sing dipilih.

  • в DMVPN/PfR Sampeyan bisa kanggo encrypt data pangguna lan protokol signaling. Nalika nggunakake model router tartamtu, fungsi firewall karo pengawasan lalu lintas, IPS / IDS tambahan kasedhiya. Sampeyan bisa kanggo bagean jaringan cabang nggunakake VRF. Sampeyan bisa otentikasi (siji-faktor) protokol kontrol.

    Ing kasus iki, router remot dianggep minangka unsur sing dipercaya saka jaringan kanthi standar - i.e. kasus kompromi fisik piranti individu lan kamungkinan akses ora sah menyang piranti kasebut ora dianggep utawa dianggep; ora ana otentikasi rong faktor komponen solusi, sing ing kasus jaringan sing disebarake sacara geografis bisa nggawa risiko tambahan sing signifikan.

  • в SD WAN kanthi analogi karo DMVPN, kemampuan kanggo ndhelik data pangguna diwenehake, nanging kanthi keamanan jaringan sing ditambahi sacara signifikan lan fungsi segmentasi L3/VRF (firewall, IPS/ID, Filter URL, Filtering DNS, AMP/TG, SASE, TLS/SSL proxy, lsp) d.). Ing wektu sing padha, ijol-ijolan kunci enkripsi ditindakake kanthi luwih efisien liwat pengontrol vSmart (tinimbang langsung), liwat saluran sinyal sing wis ditemtokake sing dilindhungi dening enkripsi DTLS/TLS adhedhasar sertifikat keamanan. Sing siji njamin keamanan ijol-ijolan kasebut lan njamin skalabilitas solusi sing luwih apik nganti puluhan ewu piranti ing jaringan sing padha.

    Kabeh sambungan sinyal (controller-to-controller, controller-router) uga dilindhungi adhedhasar DTLS / TLS. Router dilengkapi sertifikat safety sajrone produksi kanthi kamungkinan panggantos / ekstensi. Otentikasi rong faktor digayuh liwat pemenuhan wajib lan simultan saka rong syarat supaya router / pengontrol bisa digunakake ing jaringan SD-WAN:

    • Sertifikat keamanan sing sah
    • Gawan eksplisit lan sadar dening administrator saben komponen ing dhaptar "putih" piranti sing diidini.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Beda fungsional antarane SD-WAN lan DMVPN/PfR

Ngalih kanggo ngrembug beda-beda fungsional, kudu dicathet yen akeh sing dadi kelanjutan saka arsitektur - dudu rahasia manawa nalika nggawe arsitektur solusi, pangembang diwiwiti saka kemampuan sing dikarepake ing pungkasan. Ayo ndeleng prabédan paling signifikan ing antarane rong teknologi kasebut.

AppQ (Kualitas Aplikasi) - fungsi kanggo njamin kualitas transmisi lalu lintas aplikasi bisnis

Fungsi utama teknologi sing dipikirake yaiku kanggo ningkatake pengalaman pangguna sabisa-bisa nalika nggunakake aplikasi kritis bisnis ing jaringan sing disebarake. Iki penting banget ing kahanan nalika bagean infrastruktur ora dikontrol dening IT utawa malah ora njamin transfer data sing sukses.

DMVPN ora nyedhiyakake mekanisme kasebut. Sing paling apik sing bisa ditindakake ing jaringan DMVPN klasik yaiku nggolongake lalu lintas metu miturut aplikasi lan prioritas nalika dikirim menyang saluran WAN. Pilihan terowongan DMVPN ditemtokake ing kasus iki mung kanthi kasedhiyan lan asil operasi protokol routing. Ing wektu sing padha, negara end-to-end path / trowongan lan kemungkinan degradasi parsial ora dianggep babagan metrik kunci sing penting kanggo aplikasi jaringan - wektu tundha, variasi tundha (jitter) lan kerugian (% ). Ing babagan iki, langsung mbandhingake DMVPN klasik karo SD-WAN babagan ngrampungake masalah AppQ ilang kabeh makna - DMVPN ora bisa ngatasi masalah iki. Nalika sampeyan nambah Cisco Performance Routing (PfR) teknologi menyang konteks iki, owah-owahan kahanan lan comparison karo Cisco SD-WAN dadi luwih migunani.

Sadurunge kita ngrembug bedane, kene cepet ndeleng carane teknologi padha. Dadi, loro teknologi kasebut:

  • duwe mekanisme sing ngidini sampeyan ngevaluasi kanthi dinamis kahanan saben trowongan sing diadegake ing syarat-syarat metrik tartamtu - minimal, wektu tundha, variasi tundha lan mundhut paket (%)
  • gunakake piranti khusus kanggo mbentuk, nyebarake lan ngetrapake aturan manajemen lalu lintas (kabijakan), kanthi njupuk asil ngukur kahanan metrik trowongan utama.
  • nggolongake lalu lintas aplikasi ing level L3-L4 (DSCP) model OSI utawa kanthi tandha aplikasi L7 adhedhasar mekanisme DPI sing dibangun ing router
  • Kanggo aplikasi sing penting, sampeyan ngidini sampeyan nemtokake nilai ambang metrik sing bisa ditampa, aturan kanggo ngirim lalu lintas kanthi standar, lan aturan kanggo ngarahake lalu lintas nalika nilai ambang ngluwihi.
  • Nalika encapsulating lalu lintas ing GRE / IPSec, padha nggunakake mekanisme industri wis diadegaké kanggo mindhah tandha DSCP internal menyang GRE external / header paket IPSEC, sing ngidini nyinkronake kawicaksanan QoS organisasi lan operator telekomunikasi (yen ana SLA cocok) .

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Kepiye metrik end-to-end SD-WAN lan DMVPN/PfR?

DMVPN/PfR

  • Sensor piranti lunak aktif lan pasif (Probe) digunakake kanggo ngevaluasi metrik kesehatan terowongan standar. Sing aktif adhedhasar lalu lintas pangguna, sing pasif niru lalu lintas kasebut (ora ana).
  • Ora ana pengaturan wektu lan kahanan deteksi degradasi - algoritma kasebut tetep.
  • Kajaba iku, pangukuran bandwidth sing digunakake ing arah metu kasedhiya. Sing nambah keluwesan manajemen lalu lintas tambahan menyang DMVPN/PfR.
  • Ing wektu sing padha, sawetara mekanisme PfR, nalika metrik ngluwihi, gumantung marang sinyal umpan balik ing wangun pesen TCA (Threshold Crossing Alert) khusus sing kudu teka saka panampa lalu lintas menyang sumber, sing banjur nganggep yen negara saluran sing diukur kudu paling sethithik cukup kanggo ngirim pesen TCA kasebut. Kang ing paling kasus ora masalah, nanging temenan ora bisa dijamin.

SD WAN

  • Kanggo evaluasi end-to-end metrik status terowongan standar, protokol BFD digunakake ing mode gema. Ing kasus iki, umpan balik khusus ing wangun TCA utawa pesen sing padha ora dibutuhake - isolasi domain kegagalan dijaga. Uga ora mbutuhake anané lalu lintas pangguna kanggo ngevaluasi status trowongan.
  • Sampeyan bisa nyetel timer BFD kanggo ngatur kacepetan respon lan sensitivitas algoritma kanggo degradasi saluran komunikasi saka sawetara detik nganti menit.

    Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

  • Nalika nulis, mung ana siji sesi BFD ing saben trowongan. Iki duweni potensi nggawe kurang granularity ing analisis status trowongan. Ing kasunyatan, iki mung bisa dadi watesan yen sampeyan nggunakake sambungan WAN adhedhasar MPLS L2/L3 VPN karo QoS SLA sarujuk - yen DSCP menehi tandha lalu lintas BFD (sawise enkapsulasi ing IPSec / GRE) cocog karo antrian prioritas dhuwur ing. jaringan operator telekomunikasi, banjur iki bisa mengaruhi akurasi lan kacepetan deteksi degradasi kanggo lalu lintas-prioritas kurang. Ing wektu sing padha, sampeyan bisa ngganti label BFD standar kanggo nyuda risiko kahanan kasebut. Ing versi piranti lunak Cisco SD-WAN ing mangsa ngarep, setelan BFD sing luwih apik bakal dikarepake, uga kemampuan kanggo miwiti pirang-pirang sesi BFD ing terowongan sing padha karo nilai DSCP individu (kanggo aplikasi sing beda).
  • BFD uga ngidini sampeyan ngira ukuran paket maksimal sing bisa ditularake liwat trowongan tartamtu tanpa fragmentasi. Iki ngidini SD-WAN nyetel paramèter kanthi dinamis kayata MTU lan TCP MSS Adjust kanggo ngoptimalake bandwidth sing kasedhiya ing saben link.
  • Ing SD-WAN, pilihan sinkronisasi QoS saka operator telekomunikasi uga kasedhiya, ora mung adhedhasar lapangan L3 DSCP, nanging uga adhedhasar nilai L2 CoS, sing bisa digawe kanthi otomatis ing jaringan cabang dening piranti khusus - contone, IP telpon

Kepiye kemampuan, cara kanggo nemtokake lan ngetrapake kabijakan AppQ beda-beda?

Kabijakan DMVPN/PfR:

  • Ditetepake ing router cabang tengah liwat baris printah CLI utawa CLI konfigurasi Cithakan. Nggawe cithakan CLI mbutuhake persiapan lan kawruh babagan sintaksis kebijakan.

    Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

  • Ditetepake sacara global tanpa kamungkinan konfigurasi individu / owah-owahan kanggo syarat segmen jaringan individu.
  • Generasi kabijakan interaktif ora kasedhiya ing antarmuka grafis.
  • Nglacak owah-owahan, warisan, lan nggawe macem-macem versi kabijakan kanggo ngoper cepet ora kasedhiya.
  • Disebarake kanthi otomatis menyang router saka cabang remot. Ing kasus iki, saluran komunikasi sing padha digunakake kanggo ngirim data pangguna. Yen ora ana saluran komunikasi antarane cabang tengah lan remot, distribusi / owah-owahan kabijakan ora mungkin.
  • Iki digunakake ing saben router lan, yen perlu, ngowahi asil protokol nuntun standar, duwe prioritas sing luwih dhuwur.
  • Kanggo kasus nalika kabeh pranala WAN cabang ngalami mundhut lalu lintas sing signifikan, ora ana mekanisme ganti rugi sing diwenehake.

Kebijakan SD-WAN:

  • Ditetepake ing vManage GUI liwat tuntunan cithakan interaktif.
  • Ndhukung nggawe macem-macem kabijakan, nyalin, warisan, ngalih ing antarane kabijakan ing wektu nyata.
  • Ndhukung setelan kabijakan individu kanggo macem-macem segmen jaringan (cabang)
  • Lagi disebarake nggunakake sembarang saluran sinyal kasedhiya antarane controller lan router lan / utawa vSmart - ora langsung gumantung ing panyambungan data-bidang antarane router. Iki, mesthi, mbutuhake konektivitas IP antarane router dhewe lan pengontrol.

    Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

  • Kanggo kasus nalika kabeh cabang sing kasedhiya saka cabang ngalami kerugian data sing signifikan ngluwihi ambang sing bisa ditampa kanggo aplikasi kritis, sampeyan bisa nggunakake mekanisme tambahan sing nambah linuwih transmisi:
    • FEC (Koreksi Kesalahan Terusake) - nggunakake algoritma coding keluwih khusus. Nalika ngirimake lalu lintas kritis liwat saluran kanthi persentase kerugian sing signifikan, FEC bisa diaktifake kanthi otomatis lan ngidini, yen perlu, mulihake bagean data sing ilang. Iki rada nambah bandwidth transmisi digunakake, nanging Ngartekno nambah linuwih.

      Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

    • Duplikasi aliran data - Saliyane FEC, kabijakan kasebut bisa nyedhiyakake duplikasi otomatis lalu lintas aplikasi sing dipilih yen ana tingkat kerugian sing luwih serius sing ora bisa dikompensasi dening FEC. Ing kasus iki, data sing dipilih bakal dikirim liwat kabeh trowongan menyang cabang panampa kanthi de-duplikasi sakteruse (ngeculake salinan ekstra paket). Mekanisme kasebut kanthi signifikan nambah panggunaan saluran, nanging uga nambah linuwih transmisi.

Kapabilitas Cisco SD-WAN, tanpa analog langsung ing DMVPN / PfR

Arsitèktur saka solusi Cisco SD-WAN ing sawetara kasus ngijini sampeyan diwenehi Kapabilitas sing salah siji arang banget angel kanggo ngleksanakake ing DMVPN / PfR, utawa ora praktis amarga biaya pegawe dibutuhake, utawa ora bisa rampung. Ayo goleki sing paling menarik:

Teknik Lalu Lintas (TE)

TE kalebu mekanisme sing ngidini lalu lintas kanggo cabang saka path standar kawangun dening protokol nuntun. TE asring digunakake kanggo mesthekake kasedhiyan dhuwur saka layanan jaringan, liwat kemampuan kanggo cepet lan / utawa proaktif nransfer lalu lintas kritis menyang alternatif (disjoint) path transmisi, kanggo mesthekake kualitas luwih saka layanan utawa kacepetan Recovery ing acara Gagal. ing dalan utama.

Kangelan ing ngleksanakake TE dumunung ing perlu kanggo ngetung lan cadangan (mriksa) dalan alternatif ing advance. Ing jaringan operator telekomunikasi MPLS, masalah iki ditanggulangi kanthi nggunakake teknologi kayata MPLS Traffic-Engineering kanthi ekstensi protokol IGP lan protokol RSVP. Uga bubar, teknologi Segment Routing, sing luwih dioptimalake kanggo konfigurasi terpusat lan orkestrasi, dadi tambah populer. Ing jaringan WAN klasik, teknologi kasebut biasane ora diwakili utawa dikurangi nggunakake mekanisme hop-by-hop kayata Policy-Based Routing (PBR), sing bisa ngepang lalu lintas, nanging ngetrapake iki ing saben router kanthi kapisah - tanpa njupuk. menyang akun negara sakabèhé jaringan utawa asil PBR ing langkah sadurunge utawa sakteruse. Asil nggunakake opsi TE iki nguciwani - MPLS TE, amarga kerumitan konfigurasi lan operasi, digunakake, minangka aturan, mung ing bagean paling kritis saka jaringan (inti), lan PBR digunakake ing router individu tanpa kemampuan kanggo nggawe kabijakan PBR terpadu kanggo kabeh jaringan. Temenan, iki uga ditrapake kanggo jaringan berbasis DMVPN.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

SD-WAN ing babagan iki nawakake solusi sing luwih elegan sing ora mung gampang diatur, nanging uga timbangan sing luwih apik. Iki minangka asil saka arsitektur bidang kontrol lan bidang kebijakan sing digunakake. Ngleksanakake kabijakan-pesawat ing SD-WAN ngijini sampeyan kanggo tengah netepake privasi TE - lalu lintas apa kapentingan? kanggo VPN apa? Liwat simpul / trowongan endi sing perlu utawa, kosok balene, dilarang nggawe rute alternatif? Kajaba iku, sentralisasi manajemen pesawat kontrol adhedhasar pengontrol vSmart ngidini sampeyan ngowahi asil rute tanpa nggunakake setelan piranti individu - router mung ndeleng asil logika sing digawe ing antarmuka vManage lan ditransfer kanggo digunakake kanggo vSmart.

Service-chaining

Mbentuk ranté layanan minangka tugas sing luwih intensif tenaga kerja ing rute klasik tinimbang mekanisme Lalu Lintas-Teknik sing wis diterangake. Pancen, ing kasus iki, perlu ora mung nggawe rute khusus kanggo aplikasi jaringan tartamtu, nanging uga kanggo mesthekake kemampuan kanggo mbusak lalu lintas saka jaringan ing simpul tartamtu (utawa kabeh) jaringan SD-WAN kanggo diproses dening aplikasi utawa layanan khusus (Firewall, Balancing, Caching, lalu lintas Inspeksi, lsp). Ing wektu sing padha, perlu kanggo ngontrol kahanan layanan eksternal kasebut kanggo nyegah kahanan black-holing, lan mekanisme uga dibutuhake sing ngidini layanan eksternal saka jinis sing padha bisa diselehake ing lokasi geografis sing beda. kanthi kemampuan jaringan kanthi otomatis milih simpul layanan sing paling optimal kanggo ngolah lalu lintas cabang tartamtu. Ing cilik saka Cisco SD-WAN, iki cukup gampang kanggo entuk kanthi nggawe kawicaksanan terpusat cocok sing "glue" kabeh aspèk chain layanan target menyang kabèh siji lan kanthi otomatis ngganti data-bidang lan kontrol-pesawat logika mung ngendi. lan yen perlu.

Bakal Cisco SD-WAN Cut mati cabang ing DMVPN lenggah?

Kemampuan kanggo nggawe pangolahan geo-distribusi lalu lintas saka jinis aplikasi sing dipilih ing urutan tartamtu ing peralatan khusus (nanging ora ana hubungane karo jaringan SD-WAN dhewe) bisa uga minangka demonstrasi sing paling jelas babagan kaluwihan Cisco SD-WAN tinimbang klasik. teknologi lan malah sawetara solusi SD alternatif -WAN saka manufaktur liyane.

Apa ing pungkasan?

Temenan, loro DMVPN (nganggo utawa tanpa Performance Routing) lan Cisco SD-WAN pungkasane ngrampungake masalah sing padha hubungane karo jaringan WAN sing disebarake saka organisasi. Ing wektu sing padha, beda arsitektur lan fungsional sing signifikan ing teknologi Cisco SD-WAN nyebabake proses ngrampungake masalah kasebut. menyang tingkat kualitas liyane. Kanggo ngringkes, kita bisa nyathet bedane sing signifikan ing antarane teknologi SD-WAN lan DMVPN/PfR:

  • DMVPN/PfR umume nggunakake teknologi sing wis diuji wektu kanggo mbangun jaringan VPN overlay lan, ing babagan bidang data, padha karo teknologi SD-WAN sing luwih modern, nanging ana sawetara watesan ing wangun konfigurasi statis wajib. saka router lan pilihan saka topologies diwatesi kanggo Hub-n-Spoke. Ing sisih liya, DMVPN / PfR duwe sawetara fungsi sing durung kasedhiya ing SD-WAN (kita ngomong babagan BFD saben aplikasi).
  • Ing bidang kontrol, teknologi beda-beda dhasar. Ngelingi pangolahan terpusat saka protokol sinyal, SD-WAN ngidini, utamane, kanggo nyuda domain kegagalan sing signifikan lan "decouple" proses ngirim lalu lintas pangguna saka interaksi sinyal - ora kasedhiya sauntara pengontrol ora mengaruhi kemampuan ngirim lalu lintas pangguna. . Ing wektu sing padha, ora kasedhiya sauntara cabang apa wae (kalebu sing tengah) ora mengaruhi kemampuan cabang liyane kanggo sesambungan karo siji liyane lan pengontrol.
  • Arsitektur kanggo pambentukan lan aplikasi kabijakan manajemen lalu lintas ing kasus SD-WAN uga luwih unggul tinimbang ing DMVPN/PfR - geo-reservasi luwih apik dileksanakake, ora ana sambungan menyang Hub, luwih akeh kesempatan kanggo nggoleki. -tuning kawicaksanan, dhaftar dipun ginakaken skenario Manajemen lalu lintas uga luwih gedhe.
  • Proses orkestrasi solusi uga beda banget. DMVPN nganggep anané paramèter sing wis dikenal sadurunge sing kudu dibayangke ing konfigurasi, sing rada mbatesi keluwesan solusi lan kemungkinan owah-owahan dinamis. Sabanjure, SD-WAN adhedhasar paradigma yen ing wiwitan sambungan, router "ora ngerti apa-apa" babagan pengontrol, nanging ngerti "sapa sing bisa takon" - iki cukup ora mung kanggo komunikasi kanthi otomatis. pengontrol, nanging uga kanthi otomatis mbentuk topologi data-bidang sing disambungake kanthi otomatis, sing banjur bisa diatur kanthi fleksibel / diganti nggunakake kabijakan.
  • Ing babagan manajemen terpusat, otomatisasi lan ngawasi, SD-WAN samesthine ngluwihi kapabilitas DMVPN/PfR, sing wis berkembang saka teknologi klasik lan luwih gumantung ing baris perintah CLI lan panggunaan sistem NMS basis cithakan.
  • Ing SD-WAN, dibandhingake karo DMVPN, syarat keamanan wis tekan tingkat kualitatif sing beda. Prinsip utama yaiku kepercayaan nul, skalabilitas lan otentikasi rong faktor.

Kesimpulan sing prasaja iki bisa menehi kesan sing salah yen nggawe jaringan adhedhasar DMVPN/PfR wis ilang kabeh relevansi saiki. Iki mesthi ora sakabehe bener. Contone, ing kasus jaringan nggunakake akeh peralatan sing wis lawas lan ora ana cara kanggo ngganti, DMVPN bisa ngidini sampeyan nggabungake piranti "lawas" lan "anyar" dadi jaringan sing disebarake geo kanthi akeh kaluwihan sing diterangake. ndhuwur.

Ing sisih liyane, kudu eling yen kabeh router perusahaan Cisco saiki adhedhasar IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) saiki ndhukung mode operasi apa wae - loro rute klasik lan DMVPN lan SD-WAN - pilihan ditemtokake dening kabutuhan saiki lan pangerten sing ing sembarang wayahe, nggunakake peralatan padha, sampeyan bisa miwiti kanggo pindhah menyang teknologi luwih maju.

Source: www.habr.com

Add a comment