ProHoster > Блог > басқарма > Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

2017 жылдың тамызынан бастап, Cisco Viptela-ны сатып алған кезде, таратылған кәсіпорын желілерін ұйымдастырудың негізгі технологиясы ұсынылды. Cisco SD-WAN. Соңғы 3 жыл ішінде SD-WAN технологиясы сапалы және сандық жағынан көптеген өзгерістерден өтті. Осылайша, функционалдылық айтарлықтай кеңейді және серияның классикалық маршрутизаторларында қолдау пайда болды Cisco ISR 1000, ISR 4000, ASR 1000 және виртуалды CSR 1000v. Сонымен қатар, көптеген Cisco тұтынушылары мен серіктестері келесі сұрақтарға жауап береді: сияқты технологияларға негізделген Cisco SD-WAN мен бұрыннан таныс тәсілдер арасындағы айырмашылықтар қандай Cisco DMVPN и Cisco Performance Routing және бұл айырмашылықтар қаншалықты маңызды?

Бұл жерде Cisco портфолиосында SD-WAN пайда болғанға дейін DMVPN PfR-мен бірге архитектураның негізгі бөлігін құрағанын бірден ескертеміз. Cisco IWAN (интеллектуалды WAN), бұл өз кезегінде толыққанды SD-WAN технологиясының ізашары болды. Шешілетін тапсырмалардың да, оларды шешу әдістерінің де жалпы ұқсастығына қарамастан, IWAN ешқашан SD-WAN үшін қажетті автоматтандыру, икемділік және масштабтау деңгейін алған жоқ және уақыт өте келе IWAN дамуы айтарлықтай төмендеді. Сонымен қатар, IWAN-ды құрайтын технологиялар жойылған жоқ және көптеген тұтынушылар оларды сәтті пайдалануды жалғастыруда, соның ішінде заманауи жабдықта. Нәтижесінде қызықты жағдай туындады – сол Cisco жабдығы тұтынушылардың талаптары мен күтулеріне сәйкес ең қолайлы WAN технологиясын (классикалық, DMVPN+PfR немесе SD-WAN) таңдауға мүмкіндік береді.

Мақалада Cisco SD-WAN және DMVPN технологияларының (Performance Routing бар немесе онсыз) барлық мүмкіндіктерін егжей-тегжейлі талдау ниеті жоқ - бұл үшін қол жетімді құжаттар мен материалдардың үлкен көлемі бар. Негізгі міндет - осы технологиялар арасындағы негізгі айырмашылықтарды бағалауға тырысу. Бірақ бұл айырмашылықтарды талқылауға көшпес бұрын, технологиялардың өзін қысқаша еске түсірейік.

Cisco DMVPN дегеніміз не және ол не үшін қажет?

Cisco DMVPN байланыс арналарының ерікті түрлерін, соның ішінде Интернетті (= байланыс арнасын шифрлаумен) пайдалану кезінде кәсіпорынның орталық кеңсесінің желісіне қашықтағы филиалдық желіні динамикалық (= масштабталатын) қосу мәселесін шешеді. Техникалық тұрғыдан бұл «Жұлдыз» (Hub-n-Spoke) типті логикалық топологиясы бар нүктеден көп нүктеге режимде L3 VPN класының виртуалдандырылған қабаттасу желісін құру арқылы жүзеге асырылады. Бұған қол жеткізу үшін DMVPN келесі технологиялардың комбинациясын пайдаланады:

  • IP маршруттау
  • Көп нүктелі GRE туннельдері (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto профильдері

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

MPLS VPN арналарын пайдаланатын классикалық маршруттаумен салыстырғанда Cisco DMVPN негізгі артықшылықтары қандай?

  • Салааралық желіні құру үшін кез келген байланыс арналарын пайдалануға болады – филиалдар арасында IP байланысын қамтамасыз ете алатын кез келген нәрсе қолайлы, бұл ретте трафик шифрланған (қажет болған жағдайда) және теңдестірілген (мүмкіндігінше) болады.
  • Тармақтардың арасында толық қосылған топология автоматты түрде қалыптасады. Бұл ретте орталық және шалғай филиалдар арасында статикалық туннельдер, ал қашықтағы тармақтар арасында сұраныс бойынша динамикалық туннельдер (көлік қозғалысы бар болса) бар.
  • Орталық және қашықтағы филиалдың маршрутизаторлары интерфейстердің IP мекенжайларына дейін бірдей конфигурацияға ие. mGRE пайдалану арқылы ондаған, жүздеген, тіпті мыңдаған туннельдерді жеке конфигурациялаудың қажеті жоқ. Нәтижесінде дұрыс дизайнмен лайықты масштабтау.

Cisco Performance Routing дегеніміз не және ол не үшін қажет?

DMVPN-ді салааралық желіде пайдаланған кезде, бір өте маңызды мәселе шешілмей қалады - біздің ұйым үшін маңызды трафик талаптарына сәйкестігі үшін DMVPN туннельдерінің әрқайсысының күйін динамикалық түрде қалай бағалау керек және тағы да осындай бағалау негізінде динамикалық түрде бағытын өзгерту туралы шешім? Шындығында, бұл бөліктегі DMVPN классикалық маршруттаудан ерекшеленбейді - ең жақсысы шығыс бағыттағы трафикке басымдық беруге мүмкіндік беретін QoS механизмдерін конфигурациялау болып табылады, бірақ оның күйін есепке ала алмайды. бір уақытта немесе басқа уақытта бүкіл жол.

Ал егер арна толық емес, ішінара нашарласа не істеу керек - мұны қалай анықтауға және бағалауға болады? DMVPN өзі мұны істей алмайды. Филиалдарды байланыстыратын арналар мүлдем басқа технологияларды пайдалана отырып, мүлдем басқа байланыс операторлары арқылы өте алатынын ескерсек, бұл тапсырма өте маңызды емес болады. Міне, осы уақытқа дейін бірнеше даму сатысынан өткен Cisco Performance Routing технологиясы көмекке келеді.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Cisco Performance Routing (бұдан әрі PfR) міндеті желілік қолданбалар үшін маңызды негізгі көрсеткіштерге негізделген трафик жолдарының (туннельдерінің) күйін өлшеуге келеді - кідіріс, кідірістің вариациясы (діріл) және пакеттің жоғалуы (пайыз). Сонымен қатар, пайдаланылатын өткізу қабілеттілігін өлшеуге болады. Бұл өлшемдер мүмкіндігінше нақты уақытқа жақын және негізді түрде орындалады және осы өлшемдердің нәтижесі PfR пайдаланатын маршрутизаторға трафиктің осы немесе басқа түрінің бағытын өзгерту қажеттілігі туралы динамикалық шешім қабылдауға мүмкіндік береді.

Осылайша, DMVPN/PfR комбинациясының міндетін төмендегідей қысқаша сипаттауға болады:

  • Тұтынушыға WAN желісіндегі кез келген байланыс арналарын пайдалануға рұқсат беріңіз
  • Осы арналардағы маңызды қолданбалардың ең жоғары сапасын қамтамасыз етіңіз

Cisco SD-WAN дегеніміз не?

Cisco SD-WAN — ұйымның WAN желісін құру және басқару үшін SDN тәсілін пайдаланатын технология. Бұл, атап айтқанда, барлық шешім компоненттерінің орталықтандырылған оркестрленуін және автоматтандырылған конфигурациясын қамтамасыз ететін контроллерлер (бағдарламалық қамтамасыз ету элементтері) деп аталатындарды пайдалануды білдіреді. Канондық SDN (Clean Slate стилі) айырмашылығы, Cisco SD-WAN контроллерлердің бірнеше түрін пайдаланады, олардың әрқайсысы өз рөлін орындайды - бұл жақсырақ ауқымдылық пен гео артықшылықты қамтамасыз ету үшін әдейі жасалды.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

SD-WAN жағдайында арналардың кез келген түрлерін пайдалану және бизнес-қосымшалардың жұмысын қамтамасыз ету міндеті өзгеріссіз қалады, бірақ сонымен бірге мұндай желіні автоматтандыруға, масштабтауға, қауіпсіздікке және икемділікке қойылатын талаптар кеңейеді.

Айырмашылықтарды талқылау

Егер біз қазір осы технологиялар арасындағы айырмашылықтарды талдауды бастасақ, олар келесі санаттардың біріне түседі:

  • Архитектуралық айырмашылықтар - функциялар шешімнің әртүрлі құрамдас бөліктеріне қалай бөлінеді, мұндай компоненттердің өзара әрекеттесуі қалай ұйымдастырылады және бұл технологияның мүмкіндіктері мен икемділігіне қалай әсер етеді?
  • Функционалдылық – бір технология не істей алады, екіншісі не істей алмайды? Және бұл шынымен де маңызды ма?

Архитектуралық айырмашылықтар қандай және олар маңызды ма?

Бұл технологиялардың әрқайсысында рөлдерімен ғана емес, бір-бірімен өзара әрекеттесуімен де ерекшеленетін көптеген «қозғалатын бөліктер» бар. Бұл принциптер қаншалықты жақсы ойластырылған және шешімнің жалпы механикасы оның ауқымдылығын, ақауларға төзімділігін және жалпы тиімділігін тікелей анықтайды.

Сәулеттің әртүрлі аспектілерін толығырақ қарастырайық:

Мәліметтер жазықтығы – пайдаланушы трафигін көз мен алушы арасында жіберуге жауапты шешім бөлігі. DMVPN және SD-WAN әдетте көп нүктелі GRE туннельдеріне негізделген маршрутизаторлардың өзінде бірдей орындалады. Айырмашылық осы туннельдер үшін қажетті параметрлер жиынтығы қалай қалыптасады:

  • в DMVPN/PfR Жұлдыз немесе Hub-n-Spoke топологиясы бар түйіндердің тек екі деңгейлі иерархиясы болып табылады. Хабтың статикалық конфигурациясы және Spoke-дің хабқа статикалық байланысы, сондай-ақ деректер жазықтығы қосылымын қалыптастыру үшін NHRP протоколы арқылы өзара әрекеттесу қажет. Демек, хабқа өзгертулерді айтарлықтай қиындатадымысалы, жаңа WAN арналарын өзгертуге/қосуға немесе барлардың параметрлерін өзгертуге қатысты.
  • в SD WAN басқару жазықтығы (OMP протоколы) және оркестрлік жазықтық (контроллерді анықтау және NAT өту тапсырмалары үшін vBond контроллерімен өзара әрекеттесу) негізінде орнатылған туннельдердің параметрлерін анықтаудың толық динамикалық үлгісі болып табылады. Бұл жағдайда кез келген қабаттасқан топологиялар, соның ішінде иерархиялық топологиялар қолданылуы мүмкін. Белгіленген қабаттасатын туннель топологиясында әрбір жеке VPN(VRF) логикалық топологиясының икемді конфигурациясы мүмкін.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Басқару жазықтығы – шешім құрамдас бөліктері арасында маршруттау және басқа ақпараттармен алмасу, сүзу және өзгерту функциялары.

  • в DMVPN/PfR – тек Hub және Spoke маршрутизаторлары арасында орындалады. Spokes арасында бағыттау ақпаратын тікелей алмасу мүмкін емес. Демек, Жұмыс істейтін хабсыз басқару жазықтығы мен деректер жазықтығы жұмыс істей алмайды, бұл хабқа әрқашан орындалмайтын қосымша жоғары қолжетімділік талаптарын қояды.
  • в SD WAN – басқару жазықтығы ешқашан маршрутизаторлар арасында тікелей жүзеге асырылмайды – өзара әрекеттесу OMP хаттамасы негізінде жүзеге асады және міндетті түрде теңдестіру, геоброндау және орталықтандырылған басқару мүмкіндігін қамтамасыз ететін vSmart контроллерінің жеке мамандандырылған түрі арқылы жүзеге асырылады. сигналдық жүктеме. OMP хаттамасының тағы бір ерекшелігі - оның жоғалтуларға айтарлықтай төзімділігі және контроллерлермен байланыс арнасының жылдамдығынан тәуелсіздігі (әрине, ақылға қонымды шектерде). Бұл SD-WAN контроллерін Интернет арқылы қолжетімді жалпыға ортақ немесе жеке бұлттарға орналастыруға бірдей мүмкіндік береді.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Саясат жазықтығы – таратылған желіде трафикті басқару саясатын анықтауға, таратуға және қолдануға жауапты шешім бөлігі.

  • DMVPN – CLI немесе Prime Infrastructure үлгілері арқылы әрбір маршрутизаторда жеке конфигурацияланған қызмет көрсету сапасы (QoS) саясаттарымен тиімді шектеледі.
  • DMVPN/PfR – PfR саясаттары CLI арқылы орталықтандырылған Master Controller (MC) маршрутизаторында қалыптасады, содан кейін филиалдық MC-лерге автоматты түрде таратылады. Бұл жағдайда деректер жазықтығы үшін бірдей саясатты тасымалдау жолдары пайдаланылады. Саясат алмасуды, маршруттау ақпаратын және пайдаланушы деректерін бөлу мүмкіндігі жоқ. Саясаттың таралуы хаб пен Spoke арасында IP қосылымының болуын талап етеді. Бұл жағдайда MC функциясы қажет болған жағдайда DMVPN маршрутизаторымен біріктірілуі мүмкін. Орталықтандырылған саясатты құру үшін Prime Infrastructure үлгілерін пайдалануға болады (бірақ талап етілмейді). Маңызды ерекшелігі - саясат бүкіл желіде бірдей түрде құрылады - Жеке сегменттерге арналған жеке саясаттарға қолдау көрсетілмейді.
  • SD WAN – трафикті басқару және қызмет көрсету саясаттары Cisco vManage графикалық интерфейсі арқылы орталықтандырылған түрде анықталады, оған Интернет арқылы да қол жеткізуге болады (қажет болса). Олар сигнал беру арналары арқылы тікелей немесе жанама түрде vSmart контроллерлері арқылы таратылады (саясат түріне байланысты). Олар маршрутизаторлар арасындағы деректер жазықтығына байланысты емес, өйткені контроллер мен маршрутизатор арасындағы барлық қолжетімді трафик жолдарын пайдаланыңыз.

    Әртүрлі желі сегменттері үшін әртүрлі саясаттарды икемді түрде тұжырымдауға болады - саясаттың ауқымы шешімде берілген көптеген бірегей идентификаторлармен анықталады - филиал нөмірі, қолданба түрі, трафик бағыты және т.б.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Оркестрлік ұшақ – құрамдас бөліктерге бір-бірін динамикалық түрде анықтауға, кейінгі өзара әрекеттесулерді конфигурациялауға және үйлестіруге мүмкіндік беретін механизмдер.

  • в DMVPN/PfR Маршрутизаторлар арасындағы өзара анықтау Hub құрылғыларының статикалық конфигурациясына және Spoke құрылғыларының сәйкес конфигурациясына негізделген. Динамикалық табу тек Spoke үшін орын алады, ол Hub қосылымының параметрлерін құрылғыға хабарлайды, ол өз кезегінде Spoke көмегімен алдын ала конфигурацияланады. Spoke және кем дегенде бір хаб арасындағы IP қосылымынсыз деректер жазықтығы мен басқарушы жазықтықты құру мүмкін емес.
  • в SD WAN Шешім құрамдастарын орнату әрбір құрамдас (маршрутизаторлар және vManage/vSmart контроллері) алдымен IP қосылымын орнатуы қажет vBond контроллері арқылы жүзеге асырылады.

    Бастапқыда компоненттер бір-бірінің қосылым параметрлері туралы білмейді - бұл үшін оларға vBond делдал оркестрі қажет. Жалпы принцип келесідей - бастапқы кезеңдегі әрбір компонент (автоматты немесе статикалық) тек vBond-қа қосылу параметрлері туралы біледі, содан кейін vBond маршрутизаторға vManage және vSmart контроллері (бұрын ашылған) туралы хабарлайды, бұл автоматты түрде орнатуға мүмкіндік береді. барлық қажетті сигналдық қосылыстар.

    Келесі қадам - ​​жаңа маршрутизатордың vSmart контроллерімен OMP байланысы арқылы желідегі басқа маршрутизаторлар туралы білуі. Осылайша, маршрутизатор бастапқыда желі параметрлері туралы ештеңе білмей-ақ, контроллерлерді толығымен автоматты түрде анықтап, қосыла алады, содан кейін басқа маршрутизаторлармен қосылымды автоматты түрде анықтап, қалыптастырады. Бұл жағдайда барлық компоненттердің қосылу параметрлері бастапқыда белгісіз және жұмыс кезінде өзгеруі мүмкін.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Басқару жазықтығы – орталықтандырылған басқару мен бақылауды қамтамасыз ететін шешім бөлігі.

  • DMVPN/PfR – басқару жоспарының мамандандырылған шешімі қарастырылмаған. Негізгі автоматтандыру және бақылау үшін Cisco Prime Infrastructure сияқты өнімдерді пайдалануға болады. Әрбір маршрутизатордың CLI пәрмен жолы арқылы басқару мүмкіндігі бар. API арқылы сыртқы жүйелермен интеграция қамтамасыз етілмеген.
  • SD WAN – барлық тұрақты өзара әрекеттесу және бақылау орталықтандырылған түрде vManage контроллерінің графикалық интерфейсі арқылы жүзеге асырылады. Шешімнің барлық мүмкіндіктері vManage арқылы конфигурациялау үшін, сондай-ақ толық құжатталған REST API кітапханасы арқылы қол жетімді.

    vManage жүйесіндегі барлық SD-WAN желі параметрлері екі негізгі құрылымға түседі - құрылғы үлгілерін қалыптастыру (Device Template) және желі жұмысының логикасын және трафикті өңдеуді анықтайтын саясатты қалыптастыру. Бұл ретте әкімші жасаған саясатты тарататын vManage автоматты түрде қандай өзгерістерді және қандай жеке құрылғыларды/контроллерлерді жасау керектігін таңдайды, бұл шешімнің тиімділігі мен ауқымдылығын айтарлықтай арттырады.

    vManage интерфейсі арқылы Cisco SD-WAN шешімінің конфигурациясы ғана емес, сонымен қатар жеке туннельдер үшін метриканың ағымдағы күйіне және әртүрлі қолданбаларды пайдалану статистикасына дейін шешімнің барлық құрамдас бөліктерінің күйін толық бақылауға болады. DPI талдауына негізделген.

    Өзара әрекеттестіктің орталықтандырылуына қарамастан, барлық құрамдас бөліктерде (контроллерлер мен маршрутизаторлар) толық жұмыс істейтін CLI пәрмен жолы бар, ол іске асыру сатысында немесе жергілікті диагностика үшін төтенше жағдайда қажет. Маршрутизаторларда қалыпты режимде (компоненттер арасында сигнал беру арнасы болса) пәрмен жолы тек диагностика үшін қол жетімді және жергілікті өзгерістерді енгізу үшін қол жетімді емес, бұл жергілікті қауіпсіздікке кепілдік береді және мұндай желідегі өзгерістердің жалғыз көзі vManage болып табылады.

Біріктірілген қауіпсіздік – бұл жерде біз ашық арналар арқылы жіберілген кезде пайдаланушы деректерін қорғау туралы ғана емес, таңдалған технология негізіндегі WAN желісінің жалпы қауіпсіздігі туралы да айтуымыз керек.

  • в DMVPN/PfR Пайдаланушы деректерін және сигнал беру протоколдарын шифрлауға болады. Белгілі бір маршрутизатор үлгілерін пайдаланған кезде трафикті тексеру, IPS/IDS бар брандмауэр функциялары қосымша қол жетімді. VRF көмегімен салалық желілерді сегменттеуге болады. Басқару хаттамаларын (бір факторлы) аутентификациялауға болады.

    Бұл жағдайда қашықтағы маршрутизатор әдепкі бойынша желінің сенімді элементі болып саналады - яғни. жеке құрылғылардың физикалық бұзылу жағдайлары және оларға рұқсатсыз қол жеткізу мүмкіндігі қарастырылмайды немесе ескерілмейді; географиялық таралған желі жағдайында шешім компоненттерінің екі факторлы аутентификациясы жоқ. елеулі қосымша тәуекелдер болуы мүмкін.

  • в SD WAN DMVPN ұқсастығы бойынша пайдаланушы деректерін шифрлау мүмкіндігі қамтамасыз етілген, бірақ айтарлықтай кеңейтілген желі қауіпсіздігімен және L3/VRF сегменттеу функцияларымен (брандмауэр, IPS/IDS, URL сүзгілеуі, DNS сүзгілеуі, AMP/TG, SASE, TLS/SSL проксиі, т.б.) г.). Бұл ретте шифрлау кілттерімен алмасу қауіпсіздік сертификаттары негізінде DTLS/TLS шифрлауымен қорғалған алдын ала орнатылған сигналдық арналар арқылы (тікелей емес) vSmart контроллерлері арқылы тиімдірек жүзеге асырылады. Бұл өз кезегінде мұндай алмасулардың қауіпсіздігіне кепілдік береді және бір желідегі он мыңдаған құрылғыларға дейін шешімнің жақсырақ масштабталуын қамтамасыз етеді.

    Барлық сигналдық қосылымдар (контроллер-контроллер, контроллер-маршрутизатор) сонымен қатар DTLS/TLS негізінде қорғалған. Маршрутизаторлар өндіріс кезінде ауыстыру/ұзарту мүмкіндігімен қауіпсіздік сертификаттарымен жабдықталған. Екі факторлы аутентификация маршрутизатордың/контроллердің SD-WAN желісінде жұмыс істеуі үшін екі шартты міндетті және бір уақытта орындау арқылы қол жеткізіледі:

    • Жарамды қауіпсіздік сертификаты
    • Рұқсат етілген құрылғылардың «ақ» тізіміне әр компонентті әкімші анық және саналы түрде енгізу.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

SD-WAN және DMVPN/PfR арасындағы функционалдық айырмашылықтар

Функционалдық айырмашылықтарды талқылауға көшкенде, олардың көпшілігі сәулеттіктердің жалғасы екенін атап өткен жөн - шешімнің архитектурасын қалыптастыру кезінде әзірлеушілер соңында өздері алғысы келетін мүмкіндіктерден бастайтыны ешкімге құпия емес. Екі технология арасындағы ең маңызды айырмашылықтарды қарастырайық.

AppQ (Application Quality) – іскери қолданбалар трафигін беру сапасын қамтамасыз ету функциялары

Қарастырылып отырған технологиялардың негізгі функциялары таратылған желіде бизнес үшін маңызды қосымшаларды пайдалану кезінде пайдаланушы тәжірибесін мүмкіндігінше жақсартуға бағытталған. Бұл әсіресе инфрақұрылымның бір бөлігі АТ-мен бақыланбайтын немесе деректерді сәтті тасымалдауға кепілдік бермейтін жағдайларда өте маңызды.

DMVPN өзі мұндай механизмдерді қамтамасыз етпейді. Классикалық DMVPN желісінде жасалуы мүмкін ең жақсы нәрсе - шығыс трафикті қолданба бойынша жіктеу және WAN арнасына жіберілген кезде басымдық беру. DMVPN туннелін таңдау бұл жағдайда тек оның қолжетімділігімен және маршруттау хаттамаларының жұмысының нәтижесімен анықталады. Бұл ретте жолдың/туннельдің ақырғы күйі және оның мүмкін болатын ішінара деградациясы желілік қолданбалар үшін маңызды негізгі көрсеткіштер – кідіріс, кідіріс вариациясы (життер) және жоғалтулар (%) тұрғысынан ескерілмейді. ). Осыған байланысты, AppQ мәселелерін шешу тұрғысынан классикалық DMVPN-ді SD-WAN-мен тікелей салыстыру барлық мағынасын жоғалтады - DMVPN бұл мәселені шеше алмайды. Осы контекске Cisco Performance Routing (PfR) технологиясын қосқанда, жағдай өзгереді және Cisco SD-WAN-мен салыстыру маңыздырақ болады.

Айырмашылықтарды талқыламас бұрын, технологиялардың ұқсастығына қысқаша шолу жасаңыз. Сонымен, екі технология да:

  • әрбір белгіленген туннельдің күйін белгілі бір көрсеткіштер бойынша динамикалық бағалауға мүмкіндік беретін механизмі бар - минимум, кідіріс, кідірістің вариациясы және пакет жоғалуы (%)
  • негізгі туннель метрикасының күйін өлшеу нәтижелерін ескере отырып, қозғалысты басқару ережелерін (саясаттарын) қалыптастыру, тарату және қолдану үшін арнайы құралдар жинағын пайдалану.
  • OSI үлгісінің L3-L4 (DSCP) деңгейлерінде немесе маршрутизаторға енгізілген DPI механизмдеріне негізделген L7 қолданба қолтаңбалары бойынша қолданба трафигін жіктеңіз
  • Маңызды қолданбалар үшін олар метриканың рұқсат етілген шекті мәндерін, әдепкі бойынша трафикті жіберу ережелерін және шекті мәндер асқан кезде трафикті қайта бағыттау ережелерін анықтауға мүмкіндік береді.
  • GRE/IPSec жүйесінде трафикті инкапсуляциялау кезінде олар ішкі DSCP таңбаларын сыртқы GRE/IPSEC пакет тақырыбына тасымалдау үшін бұрыннан қалыптасқан салалық механизмді пайдаланады, бұл ұйымның және байланыс операторының QoS саясатын синхрондауға мүмкіндік береді (тиісті SLA бар болса) .

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

SD-WAN және DMVPN/PfR ұштық көрсеткіштері қалай ерекшеленеді?

DMVPN/PfR

  • Стандартты туннель денсаулық көрсеткіштерін бағалау үшін белсенді және пассивті бағдарламалық құрал сенсорлары (Зондтар) пайдаланылады. Белсенділері пайдаланушы трафигіне негізделген, пассивтілері мұндай трафикті (ол болмаған жағдайда) эмуляциялайды.
  • Таймерлерді дәл баптау және деградацияны анықтау шарттары жоқ - алгоритм бекітілген.
  • Сонымен қатар, шығыс бағытта пайдаланылған өткізу қабілеттілігін өлшеу қол жетімді. Бұл DMVPN/PfR-ге трафикті басқарудың қосымша икемділігін қосады.
  • Сонымен қатар, кейбір PfR механизмдері метрикадан асып кеткенде, трафик алушыдан көзге қарай келетін арнайы TCA (threshold Crossing Alert) хабарламалары түріндегі кері байланыс сигналына сүйенеді, бұл өз кезегінде трафиктің күйін болжайды. өлшенген арналар кем дегенде осындай TCA хабарламаларын жіберу үшін жеткілікті болуы керек. Бұл көп жағдайда проблема емес, бірақ кепілдік берілмейтіні анық.

SD WAN

  • Стандартты туннель күйінің көрсеткіштерін соңына дейін бағалау үшін BFD протоколы эхо режимінде пайдаланылады. Бұл жағдайда TCA немесе ұқсас хабарламалар түріндегі арнайы кері байланыс қажет емес - істен шығу домендерінің оқшаулануы сақталады. Сондай-ақ туннель күйін бағалау үшін пайдаланушы трафигінің болуын талап етпейді.
  • Жауап беру жылдамдығын және алгоритмнің байланыс арнасының нашарлауына сезімталдығын бірнеше секундтан минутқа дейін реттеу үшін BFD таймерлерін дәл баптауға болады.

    Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

  • Жазу кезінде әрбір туннельде бір ғана BFD сеансы бар. Бұл туннель күйін талдауда аз түйіршікті тудыруы мүмкін. Шындығында, бұл тек келісілген QoS SLA стандартымен MPLS L2/L3 VPN негізіндегі WAN қосылымын пайдаланған кезде ғана шектеу болуы мүмкін - егер BFD трафигінің DSCP белгісі (IPSec/GRE жүйесінде инкапсуляциядан кейін) жоғары басым кезекке сәйкес келсе. байланыс операторының желісі болса, бұл басымдығы төмен трафик үшін деградацияны анықтау дәлдігі мен жылдамдығына әсер етуі мүмкін. Сонымен қатар, мұндай жағдайлардың қаупін азайту үшін әдепкі BFD таңбалауын өзгертуге болады. Cisco SD-WAN бағдарламалық құралының болашақ нұсқаларында дәлірек реттелген BFD параметрлері, сондай-ақ жеке DSCP мәндерімен (әртүрлі қолданбалар үшін) бір туннель ішінде бірнеше BFD сеанстарын іске қосу мүмкіндігі күтіледі.
  • BFD қосымша фрагментациясыз белгілі бір туннель арқылы берілуі мүмкін максималды пакет өлшемін бағалауға мүмкіндік береді. Бұл SD-WAN жүйесіне MTU және TCP MSS Adjust сияқты параметрлерді динамикалық түрде реттеуге мүмкіндік береді, бұл әрбір сілтемедегі қолжетімді өткізу қабілеттілігін барынша пайдалану үшін.
  • SD-WAN жүйесінде байланыс операторларынан QoS синхрондау опциясы да қол жетімді, ол тек L3 DSCP өрістеріне ғана емес, сонымен қатар мамандандырылған құрылғылар арқылы филиалдық желіде автоматты түрде жасалуы мүмкін L2 CoS мәндеріне негізделген - мысалы, IP телефондар

AppQ саясаттарын анықтау және қолдану мүмкіндіктері, әдістері қалай ерекшеленеді?

DMVPN/PfR саясаттары:

  • CLI пәрмен жолы немесе CLI конфигурация үлгілері арқылы орталық филиал маршрутизаторларында анықталған. CLI үлгілерін жасау саясат синтаксисін дайындауды және білуді талап етеді.

    Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

  • Ғаламдық деңгейде анықталған жеке конфигурациялау/жеке желі сегменттерінің талаптарына өзгерту мүмкіндігінсіз.
  • Интерактивті саясатты құру графикалық интерфейсте қамтамасыз етілмеген.
  • Өзгерістерді қадағалау, мұраға алу және жылдам ауысу үшін саясаттардың бірнеше нұсқасын жасау қамтамасыз етілмеген.
  • Қашықтағы филиалдардың маршрутизаторларына автоматты түрде таратылады. Бұл жағдайда пайдаланушы деректерін беру үшін бірдей байланыс арналары пайдаланылады. Орталық және қашықтағы филиал арасында байланыс арнасы болмаса, саясатты тарату/өзгерту мүмкін емес.
  • Олар әрбір маршрутизаторда қолданылады және қажет болған жағдайда жоғары басымдыққа ие стандартты маршруттау протоколдарының нәтижесін өзгертеді.
  • Барлық филиалдық WAN сілтемелері трафикті айтарлықтай жоғалтқан жағдайларда, өтемақы тетіктері қарастырылмаған.

SD-WAN саясаттары:

  • Интерактивті үлгі шебері арқылы vManage графикалық интерфейсінде анықталған.
  • Нақты уақытта бірнеше саясат жасауды, көшіруді, мұрагерлікті, саясаттар арасында ауысуды қолдайды.
  • Әр түрлі желі сегменттері (филиалдар) үшін жеке саясат параметрлерін қолдайды
  • Олар контроллер мен маршрутизатор және/немесе vSmart арасындағы кез келген қолжетімді сигнал арнасы арқылы таратылады - маршрутизаторлар арасындағы деректер жазықтығы қосылымына тікелей тәуелді емес. Бұл, әрине, маршрутизатордың өзі мен контроллерлер арасында IP қосылымын қажет етеді.

    Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

  • Филиалдың барлық қол жетімді тармақтары маңызды қосымшалар үшін рұқсат етілген шектерден асатын деректердің елеулі жоғалуына ұшыраған жағдайларда, жіберу сенімділігін арттыратын қосымша механизмдерді қолдануға болады:
    • FEC (Форвард қатені түзету) – арнайы артық кодтау алгоритмін қолданады. Шығындардың айтарлықтай пайызы бар арналар бойынша маңызды трафикті жіберген кезде, FEC автоматты түрде іске қосылуы мүмкін және қажет болған жағдайда деректердің жоғалған бөлігін қалпына келтіруге мүмкіндік береді. Бұл пайдаланылған тасымалдау өткізу қабілеттілігін сәл арттырады, бірақ сенімділікті айтарлықтай арттырады.

      Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

    • Деректер ағындарының қайталануы – FEC-ке қосымша, саясат FEC өтей алмайтын жоғалтулардың одан да маңызды деңгейі болған жағдайда таңдалған қолданбалар трафигінің автоматты түрде қайталануын қамтамасыз ете алады. Бұл жағдайда таңдалған деректер барлық туннельдер арқылы қабылдаушы тармаққа қарай кейіннен қайталанусыз (дестелердің қосымша көшірмелерін тастау) жіберіледі. Механизм арнаны пайдалануды айтарлықтай арттырады, сонымен қатар беру сенімділігін айтарлықтай арттырады.

Cisco SD-WAN мүмкіндіктері, DMVPN/PfR жүйесінде тікелей аналогтары жоқ

Cisco SD-WAN шешімінің архитектурасы кейбір жағдайларда DMVPN/PfR ішінде іске асыру өте қиын немесе қажетті еңбек шығындарына байланысты мүмкін емес немесе мүлде мүмкін емес мүмкіндіктерді алуға мүмкіндік береді. Олардың ең қызықтысын қарастырайық:

Қозғалыс-инженерлік (TE)

TE трафикті маршруттау хаттамалары арқылы қалыптасатын стандартты жолдан бөлуге мүмкіндік беретін механизмдерді қамтиды. TE жиі желілік қызметтердің жоғары қолжетімділігін қамтамасыз ету үшін пайдаланылады, бұл қызмет көрсету сапасын жақсарту немесе ақау болған жағдайда қалпына келтіру жылдамдығын қамтамасыз ету үшін маңызды трафикті балама (бөлінбеген) тасымалдау жолына жылдам және/немесе белсенді түрде беру мүмкіндігі арқылы негізгі жолда.

ТЭ енгізудің қиындығы баламалы жолды алдын ала есептеу және резервтеу (тексеру) қажеттілігінде. Байланыс операторларының MPLS желілерінде бұл мәселе MPLS Traffic-Engineering сияқты IGP хаттамаларының және RSVP хаттамасының кеңейтімдері бар технологиялардың көмегімен шешіледі. Сондай-ақ жақында орталықтандырылған конфигурация және оркестрлеу үшін оңтайландырылған Segment Routing технологиясы барған сайын танымал бола бастады. Классикалық WAN желілерінде бұл технологиялар әдетте ұсынылмайды немесе трафикті тармақтауға қабілетті Саясатқа негізделген маршруттау (PBR) сияқты хоп-хоп механизмдерін қолдануға дейін қысқарады, бірақ оны әр маршрутизаторда бөлек жүзеге асырады - қабылдаусыз. алдыңғы немесе кейінгі қадамдардағы желі немесе PBR нәтижесінің жалпы күйін ескеру. Осы TE опцияларын пайдаланудың нәтижесі көңіл көншітпейді - MPLS TE конфигурациясының және жұмысының күрделілігіне байланысты, әдетте, желінің (ядроның) ең маңызды бөлігінде ғана қолданылады, ал PBR жоқ жеке маршрутизаторларда қолданылады. бүкіл желі үшін бірыңғай PBR саясатын құру мүмкіндігі. Бұл DMVPN негізіндегі желілерге де қатысты екені анық.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Осыған байланысты SD-WAN конфигурациялау оңай ғана емес, сонымен қатар әлдеқайда жақсырақ масштабталатын әлдеқайда талғампаз шешім ұсынады. Бұл пайдаланылған басқару-жазықтық және саясат-жазықтық архитектураларының нәтижесі. SD-WAN жүйесінде саясат жоспарын енгізу TE саясатын орталықтандырылған түрде анықтауға мүмкіндік береді - қандай трафик қызықтырады? қандай VPN үшін? Қандай тораптар/туннельдер арқылы балама бағытты қалыптастыру қажет немесе керісінше, тыйым салынған? Өз кезегінде, vSmart контроллерлеріне негізделген басқару жазықтығын басқаруды орталықтандыру жеке құрылғылардың параметрлеріне жүгінбей, маршруттау нәтижелерін өзгертуге мүмкіндік береді - маршрутизаторлар vManage интерфейсінде жасалған және пайдалану үшін берілген логиканың нәтижесін ғана көреді. vSmart.

Қызметтік тізбек

Қызмет көрсету тізбегін қалыптастыру классикалық маршруттауда бұрыннан сипатталған Traffic-Engineering механизміне қарағанда көп еңбекті қажет ететін тапсырма болып табылады. Шынында да, бұл жағдайда белгілі бір желілік қосымша үшін арнайы маршрут құру ғана емес, сонымен қатар өңдеу үшін SD-WAN желісінің белгілі (немесе барлық) түйіндерінде желіден трафикті жою мүмкіндігін қамтамасыз ету қажет. арнайы қолданба немесе қызмет (брандмауэр, баланстау, кэштеу, тексеру трафигі және т.б.). Сонымен қатар, қара құрсаулардың алдын алу үшін осы сыртқы қызметтердің жағдайын бақылау мүмкіндігі болуы қажет, сондай-ақ бір типтегі осындай сыртқы қызметтерді әртүрлі геолокацияларда орналастыруға мүмкіндік беретін механизмдер қажет. мүмкіндігімен желі автоматты түрде таңдау ең оңтайлы қызмет түйінін өңдеу үшін трафик белгілі бір филиалы. Cisco SD-WAN жағдайында мақсатты қызмет көрсету тізбегінің барлық аспектілерін бір бүтінге «жабыстыратын» және деректер жазықтығы мен басқару жазықтығының логикасын автоматты түрде өзгертетін тиісті орталықтандырылған саясатты жасау арқылы қол жеткізу өте оңай. және қажет болғанда.

Cisco SD-WAN DMVPN орналасқан тармақты кесіп тастайды ма?

Мамандандырылған (бірақ SD-WAN желісінің өзіне қатысы жоқ) жабдықта белгілі бір дәйектілікпен таңдалған қолданбалар түрлерінің трафигінің гео-таратылған өңдеуін құру мүмкіндігі классикалыққа қарағанда Cisco SD-WAN артықшылықтарының ең айқын көрінісі болуы мүмкін. технологиялар және басқа өндірушілердің кейбір балама SD шешімдері -WAN.

Ақырында не?

Әлбетте, DMVPN екеуі де (өнімділік бағдарлауы бар немесе онсыз) және Cisco SD-WAN өте ұқсас мәселелерді шешеді ұйымның бөлінген WAN желісіне қатысты. Сонымен қатар, Cisco SD-WAN технологиясындағы маңызды архитектуралық және функционалдық айырмашылықтар осы мәселелерді шешу процесіне әкеледі. басқа сапа деңгейіне. Қорытындылай келе, SD-WAN және DMVPN/PfR технологиялары арасындағы келесі маңызды айырмашылықтарды атап өтуге болады:

  • DMVPN/PfR жалпы алғанда VPN желілерін құру үшін уақытпен тексерілген технологияларды пайдаланады және деректер жазықтығы тұрғысынан қазіргі заманғы SD-WAN технологиясына ұқсас, дегенмен міндетті статикалық конфигурация түріндегі бірқатар шектеулер бар. маршрутизаторлар мен топологияларды таңдау Hub-n-Spoke-пен шектеледі. Екінші жағынан, DMVPN/PfR SD-WAN ішінде әлі қол жетімді емес кейбір функционалдылыққа ие (біз BFD қолданбасы туралы айтып отырмыз).
  • Басқару жазықтығында технологиялар түбегейлі ерекшеленеді. Сигнал беру хаттамаларын орталықтандырылған өңдеуді ескере отырып, SD-WAN, атап айтқанда, ақаулық домендерін айтарлықтай тарылтуға және сигналдық өзара әрекеттесуден пайдаланушы трафигін беру процесін «ажыратуға» мүмкіндік береді - контроллерлердің уақытша қолжетімсіздігі пайдаланушы трафигін беру мүмкіндігіне әсер етпейді. . Сонымен қатар кез келген филиалдың (оның ішінде орталықтың) уақытша қолжетімсіздігі басқа филиалдардың бір-бірімен және контроллерлермен өзара әрекеттесу қабілетіне ешқандай әсер етпейді.
  • SD-WAN жағдайында трафикті басқару саясатын қалыптастыру және қолдану архитектурасы DMVPN/PfR-дегіден де жоғары - геоброндау әлдеқайда жақсырақ жүзеге асырылады, хабпен байланыс жоқ, айыппұл салуға көбірек мүмкіндіктер бар. -баптау саясаттары, енгізілген трафикті басқару сценарийлерінің тізімі де әлдеқайда үлкен.
  • Шешімді ұйымдастыру процесі де айтарлықтай ерекшеленеді. DMVPN конфигурацияда қандай да бір түрде көрсетілуі керек бұрын белгілі параметрлердің болуын болжайды, бұл шешімнің икемділігін және динамикалық өзгерістер мүмкіндігін біршама шектейді. Өз кезегінде, SD-WAN қосылудың бастапқы сәтінде маршрутизатор өзінің контроллерлері туралы «ештеңе білмейді», бірақ «кімнен сұрай алатыныңызды» біледі - бұл автоматты түрде байланыс орнату үшін ғана емес, жеткілікті. контроллерлерді, сонымен қатар толығымен қосылған деректер жазықтығы топологиясын автоматты түрде қалыптастыру үшін, содан кейін саясаттарды пайдалану арқылы икемді конфигурациялануы/өзгертілуі мүмкін.
  • Орталықтандырылған басқару, автоматтандыру және бақылау тұрғысынан SD-WAN классикалық технологиялардан дамыған және CLI пәрмен жолына және үлгі негізіндегі NMS жүйелерін пайдалануға көбірек сүйенетін DMVPN/PfR мүмкіндіктерінен асып түседі деп күтілуде.
  • SD-WAN жүйесінде DMVPN-мен салыстырғанда қауіпсіздік талаптары басқа сапалы деңгейге жетті. Негізгі принциптері нөлдік сенім, масштабтау және екі факторлы аутентификация.

Бұл қарапайым тұжырымдар DMVPN/PfR негізінде желі құру бүгінгі таңда барлық өзектілігін жоғалтты деген қате әсер қалдыруы мүмкін. Бұл, әрине, мүлдем дұрыс емес. Мысалы, желі көптеген ескірген жабдықты пайдаланатын және оны ауыстырудың мүмкіндігі болмаған жағдайда, DMVPN сипатталған көптеген артықшылықтары бар «ескі» және «жаңа» құрылғыларды бір гео-таратылған желіге біріктіруге мүмкіндік береді. жоғарыда.

Екінші жағынан, IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) негізіндегі барлық ағымдағы Cisco корпоративтік маршрутизаторлары бүгінде кез келген жұмыс режимін - классикалық маршруттауды да, DMVPN және SD-WAN-ды да қолдайтынын есте ұстаған жөн. таңдау ағымдағы қажеттіліктермен және кез келген уақытта дәл сол жабдықты пайдалана отырып, неғұрлым озық технологияға көшуді бастауға болатынын түсінумен анықталады.

Ақпарат көзі: www.habr.com

пікір қалдыру