🥇Cisco는 DMVPN이 위치한 SD-WAN 지점을 차단합니까?

2017년 XNUMX월 Cisco가 Viptela를 인수한 이후 분산 엔터프라이즈 네트워크 구성을 위해 제공되는 주요 기술은 시스코 SD-WAN. 지난 3년 동안 SD-WAN 기술은 질적, 양적 측면에서 많은 변화를 겪었습니다. 따라서 기능이 크게 확장되었으며 시리즈의 클래식 라우터에 대한 지원이 나타났습니다. Cisco ISR 1000, ISR 4000, ASR 1000 및 가상 CSR 1000v. 동시에 많은 Cisco 고객과 파트너는 계속해서 다음 사항에 대해 궁금해하고 있습니다. Cisco SD-WAN과 다음과 같은 기술을 기반으로 하는 이미 친숙한 접근 방식의 차이점은 무엇입니까? 시스코 DMVPN и Cisco 성능 라우팅 이러한 차이점은 얼마나 중요합니까?

여기서 우리는 Cisco 포트폴리오에 SD-WAN이 등장하기 전에 DMVPN과 PfR이 아키텍처의 핵심 부분을 형성했다는 점을 즉시 유보해야 합니다. Cisco IWAN(지능형 WAN)이는 본격적인 SD-WAN 기술의 전신이었습니다. 해결 중인 작업과 이를 해결하는 방법의 일반적인 유사성에도 불구하고 IWAN은 SD-WAN에 필요한 자동화 수준, 유연성 및 확장성을 결코 얻지 못했고 시간이 지남에 따라 IWAN 개발이 크게 감소했습니다. 동시에 IWAN을 구성하는 기술은 사라지지 않았으며 많은 고객이 최신 장비를 포함하여 계속해서 이를 성공적으로 사용하고 있습니다. 결과적으로 흥미로운 상황이 발생했습니다. 동일한 Cisco 장비를 사용하면 고객의 요구 사항과 기대에 따라 가장 적합한 WAN 기술(클래식, DMVPN+PfR 또는 SD-WAN)을 선택할 수 있습니다.

이 기사에서는 Cisco SD-WAN 및 DMVPN 기술(성능 라우팅 유무에 관계없이)의 모든 기능을 자세히 분석하려는 의도는 없습니다. 이에 대해 사용할 수 있는 문서와 자료가 엄청나게 많습니다. 주요 임무는 이러한 기술 간의 주요 차이점을 평가하는 것입니다. 그러나 이러한 차이점을 논의하기 전에 기술 자체를 간략하게 생각해 보겠습니다.

Cisco DMVPN은 무엇이며 왜 필요한가요?

Cisco DMVPN은 인터넷을 포함한 임의 유형의 통신 채널을 사용할 때(= 통신 채널 암호화 사용) 원격 지점 네트워크를 기업 중앙 사무실 네트워크에 동적(= 확장 가능) 연결하는 문제를 해결합니다. 기술적으로 이는 "스타" 유형(Hub-n-Spoke)의 논리적 토폴로지를 사용하여 지점-다지점 모드에서 L3 VPN 클래스의 가상화된 오버레이 네트워크를 생성함으로써 실현됩니다. 이를 달성하기 위해 DMVPN은 다음 기술의 조합을 사용합니다.

IP 라우팅
다중 지점 GRE 터널(mGRE)
NHRP(다음 홉 확인 프로토콜)
IPSec 암호화 프로필

MPLS VPN 채널을 사용하는 클래식 라우팅과 비교하여 Cisco DMVPN의 주요 장점은 무엇입니까?

지점 간 네트워크를 생성하려면 모든 통신 채널을 사용할 수 있습니다. 지점 간 IP 연결을 제공할 수 있는 모든 것이 적합하며 트래픽은 암호화(필요한 경우) 및 균형 조정(가능한 경우)됩니다.
분기 간에 완전히 연결된 토폴로지가 자동으로 형성됩니다. 이 경우 중앙 지점과 원격 지점 사이에는 정적 터널이 있고 원격 지점 간에는 요청 시 동적 터널이 있습니다(트래픽이 있는 경우).
중앙 지점과 원격 지점의 라우터는 인터페이스의 IP 주소까지 동일한 구성을 갖습니다. mGRE를 사용하면 수십, 수백, 수천 개의 터널을 개별적으로 구성할 필요가 없습니다. 결과적으로 올바른 디자인으로 적절한 확장성이 가능합니다.

Cisco Performance Routing은 무엇이며 왜 필요한가요?

지점 간 네트워크에서 DMVPN을 사용할 때 한 가지 매우 중요한 질문은 해결되지 않은 상태로 남아 있습니다. 즉, 조직에 중요한 트래픽 요구 사항을 준수하기 위해 각 DMVPN 터널의 상태를 동적으로 평가하고 다시 이러한 평가를 기반으로 동적으로 생성하는 방법입니다. 노선 변경 결정? 사실 이 부분의 DMVPN은 기존 라우팅과 거의 다르지 않습니다. 수행할 수 있는 최선의 방법은 나가는 방향에서 트래픽의 우선 순위를 지정할 수 있지만 상태를 전혀 고려할 수 없는 QoS 메커니즘을 구성하는 것입니다. 전체 경로를 한 번에.

그리고 채널 성능이 완전히 저하되지 않고 부분적으로 저하되는 경우 어떻게 해야 합니까? 이를 감지하고 평가하는 방법은 무엇입니까? DMVPN 자체는 이를 수행할 수 없습니다. 지점을 연결하는 채널이 완전히 다른 기술을 사용하여 완전히 다른 통신 사업자를 통과할 수 있다는 점을 고려하면 이 작업은 매우 중요합니다. 그리고 이것이 바로 그 당시 이미 여러 개발 단계를 거쳤던 Cisco Performance Routing 기술이 구출되는 곳입니다.

Cisco Performance Routing(이하 PfR)의 임무는 네트워크 애플리케이션에 중요한 주요 지표를 기반으로 트래픽의 경로(터널) 상태를 측정하는 것입니다. 대기 시간, 대기 시간 변화(지터) 및 패킷 손실(백분율). 또한 사용된 대역폭을 측정할 수 있습니다. 이러한 측정은 가능한 한 실시간에 가깝고 정당하게 이루어지며, 이러한 측정 결과를 통해 PfR을 사용하는 라우터는 특정 트래픽 유형의 라우팅 변경 필요성에 대해 동적으로 결정할 수 있습니다.

따라서 DMVPN/PfR 조합의 작업은 다음과 같이 간략하게 설명할 수 있습니다.

고객이 WAN 네트워크의 모든 통신 채널을 사용할 수 있도록 허용
이러한 채널에서 중요한 애플리케이션의 최고 품질을 보장합니다.

시스코 SD-WAN이란 무엇입니까?

Cisco SD-WAN은 SDN 접근 방식을 사용하여 조직의 WAN 네트워크를 생성하고 운영하는 기술입니다. 이는 특히 모든 솔루션 구성 요소의 중앙 집중식 조정 및 자동화된 구성을 제공하는 소위 컨트롤러(소프트웨어 요소)의 사용을 의미합니다. 표준 SDN(Clean Slate 스타일)과 달리 Cisco SD-WAN은 각각 자체 역할을 수행하는 여러 유형의 컨트롤러를 사용합니다. 이는 더 나은 확장성과 지리적 중복성을 제공하기 위해 의도적으로 수행되었습니다.

SD-WAN의 경우 모든 유형의 채널을 사용하고 비즈니스 애플리케이션의 운영을 보장하는 작업은 동일하지만 동시에 이러한 네트워크의 자동화, 확장성, 보안 및 유연성에 대한 요구 사항이 확장됩니다.

차이점에 대한 토론

이제 이러한 기술 간의 차이점을 분석하기 시작하면 다음 범주 중 하나에 속하게 됩니다.

아키텍처 차이점 - 솔루션의 다양한 구성 요소에 기능이 어떻게 분산되어 있으며, 이러한 구성 요소의 상호 작용은 어떻게 구성되어 있으며, 이것이 기술의 기능과 유연성에 어떤 영향을 줍니까?
기능성 – 한 기술은 다른 기술이 할 수 없지만 무엇을 할 수 있습니까? 그리고 그게 정말 그렇게 중요한가요?

아키텍처의 차이점은 무엇이며 중요합니까?

이러한 각 기술에는 역할뿐만 아니라 서로 상호 작용하는 방식도 다른 많은 "움직이는 부분"이 있습니다. 이러한 원칙을 얼마나 잘 고려하고 솔루션의 일반적인 메커니즘이 확장성, 내결함성 및 전반적인 효율성을 직접적으로 결정합니다.

아키텍처의 다양한 측면을 더 자세히 살펴보겠습니다.

데이터 평면 – 소스와 수신자 간의 사용자 트래픽 전송을 담당하는 솔루션의 일부입니다. DMVPN과 SD-WAN은 일반적으로 Multipoint GRE 터널을 기반으로 라우터 자체에서 동일하게 구현됩니다. 차이점은 이러한 터널에 필요한 매개변수 세트가 형성되는 방식입니다.

в DMVPN/PfR Star 또는 Hub-n-Spoke 토폴로지를 사용하는 독점적인 XNUMX단계 노드 계층 구조입니다. 허브의 정적 구성과 허브에 대한 스포크의 정적 바인딩은 물론 데이터 플레인 연결을 형성하기 위한 NHRP 프로토콜을 통한 상호 작용도 필요합니다. 따라서, 허브 변경을 훨씬 더 어렵게 만듭니다.예를 들어 새로운 WAN 채널을 변경/연결하거나 기존 채널의 매개변수를 변경하는 것과 관련됩니다.
в SD-WAN 제어 평면(OMP 프로토콜) 및 오케스트레이션 평면(컨트롤러 감지 및 NAT 통과 작업을 위한 vBond 컨트롤러와의 상호 작용)을 기반으로 설치된 터널의 매개 변수를 감지하기 위한 완전히 동적 모델입니다. 이 경우 계층적 토폴로지를 포함하여 중첩된 토폴로지를 사용할 수 있습니다. 구축된 오버레이 터널 토폴로지 내에서 각 개별 VPN(VRF)의 논리적 토폴로지를 유연하게 구성할 수 있습니다.

제어 영역 – 솔루션 구성 요소 간의 라우팅 및 기타 정보를 교환, 필터링 및 수정하는 기능.

в DMVPN/PfR – Hub와 Spoke 라우터 사이에서만 수행됩니다. Spoke 간 라우팅 정보를 직접 교환할 수 없습니다. 따라서, 허브가 작동하지 않으면 제어 평면과 데이터 평면이 작동할 수 없습니다.이는 항상 충족할 수 없는 추가 고가용성 요구 사항을 허브에 부과합니다.
в SD-WAN – 제어 평면은 라우터 간에 직접 수행되지 않습니다. – 상호 작용은 OMP 프로토콜을 기반으로 발생하며 반드시 별도의 특수 유형의 vSmart 컨트롤러를 통해 수행됩니다. 이는 균형 조정, 지리적 예약 및 중앙 집중식 제어 가능성을 제공합니다. 신호 부하. OMP 프로토콜의 또 다른 특징은 손실에 대한 상당한 저항과 컨트롤러와의 통신 채널 속도로부터의 독립성입니다(물론 합리적인 한도 내에서). 이를 통해 인터넷을 통해 액세스할 수 있는 퍼블릭 또는 프라이빗 클라우드에 SD-WAN 컨트롤러를 성공적으로 배치할 수 있습니다.

정책면 – 분산 네트워크에서 트래픽 관리 정책을 정의, 배포 및 적용하는 솔루션의 일부입니다.

DMVPN – CLI 또는 Prime 인프라 템플릿을 통해 각 라우터에 개별적으로 구성된 QoS(서비스 품질) 정책에 의해 효과적으로 제한됩니다.
DMVPN/PfR – 중앙 집중식 MC(Master Controller) 라우터에서 CLI를 통해 PfR 정책이 형성된 후 지점 MC에 자동으로 배포됩니다. 이 경우 데이터 플레인과 동일한 정책 전송 경로가 사용됩니다. 정책, 라우팅 정보 및 사용자 데이터의 교환을 분리할 가능성은 없습니다. 정책을 전파하려면 허브와 스포크 간에 IP 연결이 필요합니다. 이 경우 필요한 경우 MC 기능을 DMVPN 라우터와 결합할 수 있습니다. 중앙 집중식 정책 생성을 위해 프라임 인프라 템플릿을 사용하는 것이 가능합니다(필수는 아님). 중요한 특징은 정책이 동일한 방식으로 네트워크 전체에 걸쳐 전역적으로 형성된다는 것입니다. 개별 세그먼트에 대한 개별 정책은 지원되지 않습니다..
SD-WAN – 트래픽 관리 및 서비스 품질 정책은 인터넷(필요한 경우)을 통해서도 액세스할 수 있는 Cisco vManage 그래픽 인터페이스를 통해 중앙에서 결정됩니다. 정책 유형에 따라 vSmart 컨트롤러를 통해 직접적으로 또는 간접적으로 신호 채널을 통해 배포됩니다. 라우터 간의 데이터 평면 연결에 의존하지 않습니다. 컨트롤러와 라우터 사이에 사용 가능한 모든 트래픽 경로를 사용하십시오.
다양한 네트워크 세그먼트에 대해 다양한 정책을 유연하게 공식화할 수 있습니다. 정책의 범위는 지점 번호, 애플리케이션 유형, 트래픽 방향 등 솔루션에서 제공되는 많은 고유 식별자에 따라 결정됩니다.

오케스트레이션 평면 – 구성 요소가 서로를 동적으로 감지하고 후속 상호 작용을 구성 및 조정할 수 있도록 하는 메커니즘입니다.

в DMVPN/PfR 라우터 간의 상호 검색은 Hub 장치의 정적 구성과 Spoke 장치의 해당 구성을 기반으로 합니다. 동적 검색은 Spoke에 대해서만 발생하며, 이는 허브 연결 매개 변수를 장치에 보고하며 Spoke로 사전 구성됩니다. Spoke와 하나 이상의 허브 간의 IP 연결이 없으면 데이터 평면이나 제어 평면을 구성하는 것이 불가능합니다.
в SD-WAN 솔루션 구성 요소의 오케스트레이션은 각 구성 요소(라우터 및 vManage/vSmart 컨트롤러)가 먼저 IP 연결을 설정해야 하는 vBond 컨트롤러를 사용하여 발생합니다.
처음에는 구성요소가 서로의 연결 매개변수에 대해 알지 못합니다. 이를 위해서는 vBond 중개 조정자가 필요합니다. 일반적인 원리는 다음과 같습니다. 초기 단계의 각 구성 요소는 vBond에 대한 연결 매개변수에 대해서만 (자동 또는 정적으로) 학습한 다음 vBond는 라우터에 vManage 및 vSmart 컨트롤러(앞에서 발견됨)에 대해 알리므로 자동으로 설정이 가능합니다. 필요한 모든 신호 연결.

다음 단계는 새 라우터가 vSmart 컨트롤러와의 OMP 통신을 통해 네트워크의 다른 라우터에 대해 학습하는 것입니다. 따라서 라우터는 처음에는 네트워크 매개변수에 대해 전혀 알지 못하더라도 완전히 자동으로 컨트롤러를 감지하고 연결할 수 있으며, 그런 다음 자동으로 다른 라우터를 감지하여 연결을 형성할 수도 있습니다. 이 경우 모든 구성요소의 연결 매개변수는 처음에는 알려지지 않았으며 작동 중에 변경될 수 있습니다.

관리부 – 중앙 집중식 관리 및 모니터링을 제공하는 솔루션의 일부입니다.

DMVPN/PfR – 전문적인 관리 플레인 솔루션이 제공되지 않습니다. 기본적인 자동화 및 모니터링을 위해 Cisco Prime Infrastructure와 같은 제품을 사용할 수 있습니다. 각 라우터는 CLI 명령줄을 통해 제어할 수 있습니다. API를 통한 외부 시스템과의 통합은 제공되지 않습니다.
SD-WAN – 모든 정기적인 상호 작용 및 모니터링은 vManage 컨트롤러의 그래픽 인터페이스를 통해 중앙에서 수행됩니다. 솔루션의 모든 기능은 예외 없이 vManage는 물론 완벽하게 문서화된 REST API 라이브러리를 통해 구성할 수 있습니다.
vManage의 모든 SD-WAN 네트워크 설정은 장치 템플릿(장치 템플릿)의 형성과 네트워크 운영 및 트래픽 처리의 논리를 결정하는 정책의 형성이라는 두 가지 주요 구성으로 나뉩니다. 동시에 관리자가 생성한 정책을 브로드캐스팅하는 vManage는 어떤 변경 사항과 어떤 개별 장치/컨트롤러를 적용해야 하는지 자동으로 선택하므로 솔루션의 효율성과 확장성이 크게 향상됩니다.

vManage 인터페이스를 통해 Cisco SD-WAN 솔루션을 구성할 수 있을 뿐만 아니라 솔루션의 모든 구성 요소 상태를 개별 터널의 현재 메트릭 상태와 다양한 애플리케이션 사용에 대한 통계까지 완벽하게 모니터링할 수 있습니다. DPI 분석을 기반으로 합니다.

상호 작용의 중앙 집중화에도 불구하고 모든 구성 요소(컨트롤러 및 라우터)에는 구현 단계 또는 로컬 진단을 위한 긴급 상황에서 필요한 완전한 기능의 CLI 명령줄도 있습니다. 라우터의 일반 모드(구성 요소 간에 신호 채널이 있는 경우)에서 명령줄은 진단에만 사용할 수 있으며 로컬 변경에는 사용할 수 없습니다. 이는 로컬 보안을 보장하며 이러한 네트워크에서 유일한 변경 소스는 vManage입니다.

통합보안 – 여기서는 개방형 채널을 통해 전송되는 사용자 데이터의 보호뿐만 아니라 선택한 기술을 기반으로 하는 WAN 네트워크의 전반적인 보안에 대해서도 이야기해야 합니다.

в DMVPN/PfR 사용자 데이터와 신호 프로토콜을 암호화하는 것이 가능합니다. 특정 라우터 모델을 사용하는 경우 트래픽 검사, IPS/IDS가 포함된 방화벽 기능을 추가로 사용할 수 있습니다. VRF를 사용하여 지점 네트워크를 분할하는 것이 가능합니다. (XNUMX단계) 제어 프로토콜을 인증하는 것이 가능합니다.
이 경우 원격 라우터는 기본적으로 네트워크의 신뢰할 수 있는 요소로 간주됩니다. 개별 장치의 물리적 손상 및 이에 대한 무단 액세스 가능성은 가정되거나 고려되지 않으며, 지리적으로 분산된 네트워크의 경우 솔루션 구성 요소에 대한 XNUMX단계 인증이 없습니다. 상당한 추가 위험을 초래할 수 있습니다.
в SD-WAN DMVPN과 유사하게 사용자 데이터를 암호화하는 기능이 제공되지만 크게 확장된 네트워크 보안 및 L3/VRF 분할 기능(방화벽, IPS/IDS, URL 필터링, DNS 필터링, AMP/TG, SASE, TLS/SSL 프록시, 등) d.). 동시에 암호화 키 교환은 보안 인증서를 기반으로 하는 DTLS/TLS 암호화로 보호되는 사전 설정된 신호 채널을 통해 vSmart 컨트롤러를 통해(직접적이 아닌) 더 효율적으로 수행됩니다. 이는 결국 그러한 교환의 보안을 보장하고 동일한 네트워크에서 최대 수만 개의 장치까지 솔루션의 더 나은 확장성을 보장합니다.
모든 신호 연결(컨트롤러 간, 컨트롤러 라우터)도 DTLS/TLS를 기반으로 보호됩니다. 라우터는 생산 중에 교체/확장 가능성이 있는 안전 인증서를 갖추고 있습니다. XNUMX단계 인증은 라우터/컨트롤러가 SD-WAN 네트워크에서 작동하기 위한 두 가지 조건을 필수적이고 동시에 충족함으로써 달성됩니다.
- 유효한 보안 인증서
- 허용된 장치의 "화이트" 목록에 각 구성 요소의 관리자가 명시적이고 의식적으로 포함합니다.

SD-WAN과 DMVPN/PfR의 기능적 차이점

기능적 차이점을 논의하면서 이들 중 다수는 아키텍처의 연속이라는 점에 유의해야 합니다. 솔루션의 아키텍처를 형성할 때 개발자가 결국 얻고자 하는 기능부터 시작한다는 것은 비밀이 아닙니다. 두 기술의 가장 중요한 차이점을 살펴보겠습니다.

AppQ(Application Quality) – 비즈니스 애플리케이션 트래픽 전송 품질을 보장하는 기능

고려 중인 기술의 핵심 기능은 분산 네트워크에서 비즈니스에 중요한 애플리케이션을 사용할 때 사용자 경험을 최대한 향상시키는 것을 목표로 합니다. 이는 인프라의 일부가 IT에 의해 제어되지 않거나 성공적인 데이터 전송을 보장하지 않는 상황에서 특히 중요합니다.

DMVPN 자체는 이러한 메커니즘을 제공하지 않습니다. 기존 DMVPN 네트워크에서 수행할 수 있는 최선의 방법은 나가는 트래픽을 애플리케이션별로 분류하고 WAN 채널로 전송될 때 우선 순위를 지정하는 것입니다. 이 경우 DMVPN 터널의 선택은 가용성과 라우팅 프로토콜 작동 결과에 의해서만 결정됩니다. 동시에, 경로/터널의 종단 간 상태와 가능한 부분 저하는 지연, 지연 변화(지터) 및 손실(%)과 같은 네트워크 애플리케이션에 중요한 주요 지표 측면에서 고려되지 않습니다. ). 이와 관련하여 AppQ 문제 해결 측면에서 기존 DMVPN과 SD-WAN을 직접 비교하는 것은 모든 의미를 잃습니다. DMVPN은 이 문제를 해결할 수 없습니다. 이러한 맥락에 Cisco PfR(Performance Routing) 기술을 추가하면 상황이 바뀌고 Cisco SD-WAN과의 비교가 더욱 의미있게 됩니다.

차이점을 논의하기 전에 기술이 어떻게 유사한지 간략하게 살펴보겠습니다. 따라서 두 기술 모두 다음과 같습니다.

특정 메트릭(최소한, 지연, 지연 변화 및 패킷 손실(%)) 측면에서 설정된 각 터널의 상태를 동적으로 평가할 수 있는 메커니즘이 있습니다.
주요 터널 지표 상태 측정 결과를 고려하여 특정 도구 세트를 사용하여 트래픽 관리 규칙(정책)을 형성, 배포 및 적용합니다.
OSI 모델의 L3-L4(DSCP) 수준에서 또는 라우터에 내장된 DPI 메커니즘을 기반으로 하는 L7 애플리케이션 서명으로 애플리케이션 트래픽을 분류합니다.
중요한 애플리케이션의 경우 메트릭의 허용 가능한 임계값, 기본적으로 트래픽 전송 규칙, 임계값 초과 시 트래픽을 다시 라우팅하는 규칙을 결정할 수 있습니다.
GRE/IPSec에서 트래픽을 캡슐화할 때 내부 DSCP 표시를 외부 GRE/IPSEC 패킷 헤더로 전송하기 위해 이미 확립된 업계 메커니즘을 사용합니다. 이를 통해 조직과 통신 사업자의 QoS 정책을 동기화할 수 있습니다(적절한 SLA가 있는 경우). .

SD-WAN과 DMVPN/PfR 엔드투엔드 측정항목은 어떻게 다릅니까?

DMVPN/PfR

능동 및 수동 소프트웨어 센서(프로브)는 모두 표준 터널 상태 지표를 평가하는 데 사용됩니다. 활성 트래픽은 사용자 트래픽을 기반으로 하고, 수동 트래픽은 해당 트래픽이 없는 경우를 에뮬레이트합니다.
타이머 및 성능 저하 감지 조건의 미세 조정은 없으며 알고리즘은 고정되어 있습니다.
또한 나가는 방향에서 사용된 대역폭을 측정할 수 있습니다. DMVPN/PfR에 트래픽 관리 유연성이 추가됩니다.
동시에 일부 PfR 메커니즘은 메트릭이 초과되면 트래픽 수신자에서 소스로 전달되어야 하는 특수 TCA(Threshold Crossing Alert) 메시지 형태의 피드백 신호에 의존합니다. 측정된 채널은 최소한 그러한 TCA 메시지 전송에 충분해야 합니다. 대부분의 경우 문제가 되지는 않지만 확실히 보장할 수는 없습니다.

SD-WAN

표준 터널 상태 메트릭의 엔드투엔드 평가를 위해 BFD 프로토콜이 에코 모드에서 사용됩니다. 이 경우 TCA 또는 유사한 메시지 형태의 특별한 피드백이 필요하지 않습니다. 오류 도메인의 격리가 유지됩니다. 또한 터널 상태를 평가하기 위해 사용자 트래픽이 필요하지 않습니다.
BFD 타이머를 미세 조정하여 통신 채널 저하에 대한 알고리즘의 응답 속도와 감도를 몇 초에서 몇 분으로 조절할 수 있습니다.
이 글을 쓰는 시점에는 각 터널에 BFD 세션이 하나만 있습니다. 이는 잠재적으로 터널 상태 분석의 세분성을 떨어뜨립니다. 실제로 이것은 QoS SLA가 합의된 MPLS L2/L3 VPN 기반 WAN 연결을 사용하는 경우에만 제한이 될 수 있습니다. 즉, BFD 트래픽의 DSCP 표시(IPSec/GRE에서 캡슐화한 후)가 높은 우선 순위 대기열과 일치하는 경우에만 가능합니다. 통신 사업자의 네트워크에 영향을 미치는 경우 우선 순위가 낮은 트래픽에 대한 성능 저하 감지의 정확성과 속도에 영향을 미칠 수 있습니다. 동시에 이러한 상황의 위험을 줄이기 위해 기본 BFD 라벨링을 변경할 수 있습니다. Cisco SD-WAN 소프트웨어의 향후 버전에서는 더욱 세밀하게 조정된 BFD 설정과 개별 DSCP 값(다양한 애플리케이션에 대해)을 사용하여 동일한 터널 내에서 여러 BFD 세션을 시작할 수 있는 기능이 예상됩니다.
BFD를 사용하면 조각화 없이 특정 터널을 통해 전송할 수 있는 최대 패킷 크기를 추정할 수도 있습니다. 이를 통해 SD-WAN은 MTU 및 TCP MSS 조정과 같은 매개변수를 동적으로 조정하여 각 링크에서 사용 가능한 대역폭을 최대한 활용할 수 있습니다.
SD-WAN에서는 L3 DSCP 필드뿐만 아니라 IP와 같은 특수 장치에 의해 지점 네트워크에서 자동으로 생성될 수 있는 L2 CoS 값을 기반으로 통신 사업자의 QoS 동기화 옵션도 제공됩니다. 전화

AppQ 정책을 정의하고 적용하는 기능과 방법은 어떻게 다릅니까?

DMVPN/PfR 정책:

CLI 명령줄 또는 CLI 구성 템플릿을 통해 중앙 지점 라우터에서 정의됩니다. CLI 템플릿을 생성하려면 정책 구문에 대한 준비와 지식이 필요합니다.
전 세계적으로 정의됨 개별 네트워크 세그먼트의 요구 사항에 대한 개별 구성/변경 가능성이 없습니다.
그래픽 인터페이스에서는 대화형 정책 생성이 제공되지 않습니다.
변경 사항 추적, 상속 및 빠른 전환을 위한 여러 버전의 정책 생성은 제공되지 않습니다.
원격지의 라우터에 자동으로 배포됩니다. 이 경우 사용자 데이터 전송과 동일한 통신 채널이 사용됩니다. 중앙 지점과 원격 지점 사이에 통신 채널이 없으면 정책 배포/변경이 불가능합니다.
이는 각 라우터에서 사용되며 필요한 경우 더 높은 우선 순위를 갖도록 표준 라우팅 프로토콜의 결과를 수정합니다.
모든 지점 WAN 링크에서 심각한 트래픽 손실이 발생하는 경우 보상 메커니즘이 제공되지 않음.

SD-WAN 정책:

대화형 템플릿 마법사를 통해 vManage GUI에서 정의됩니다.
실시간으로 여러 정책 생성, 정책 복사, 상속, 전환을 지원합니다.
다양한 네트워크 세그먼트(브랜치)에 대한 개별 정책 설정 지원
컨트롤러와 라우터 및/또는 vSmart 간에 사용 가능한 신호 채널을 사용하여 배포되며 라우터 간의 데이터 플레인 연결에 직접적으로 의존하지 않습니다. 물론 이를 위해서는 라우터 자체와 컨트롤러 간의 IP 연결이 필요합니다.
지점의 사용 가능한 모든 지점에서 중요한 애플리케이션에 대해 허용 가능한 임계값을 초과하는 상당한 데이터 손실이 발생하는 경우 전송 안정성을 높이는 추가 메커니즘을 사용할 수 있습니다.
- FEC(순방향 오류 정정) – 특별한 중복 코딩 알고리즘을 사용합니다. 상당한 비율의 손실이 있는 채널을 통해 중요한 트래픽을 전송할 때 FEC가 자동으로 활성화될 수 있으며 필요한 경우 데이터의 손실된 부분을 복원할 수 있습니다. 이렇게 하면 사용되는 전송 대역폭이 약간 증가하지만 안정성이 크게 향상됩니다.
- 데이터 스트림의 복제 – FEC 외에도 정책은 FEC로 보상할 수 없는 훨씬 더 심각한 수준의 손실이 발생할 경우 선택한 애플리케이션의 트래픽 자동 복제를 제공할 수 있습니다. 이 경우 선택한 데이터는 후속 중복 제거(추가 패킷 복사본 삭제)와 함께 모든 터널을 통해 수신 지점으로 전송됩니다. 이 메커니즘은 채널 활용도를 크게 높이는 동시에 전송 신뢰성도 크게 향상시킵니다.

DMVPN/PfR과 직접적인 유사점이 없는 Cisco SD-WAN 기능

경우에 따라 Cisco SD-WAN 솔루션의 아키텍처를 사용하면 DMVPN/PfR 내에서 구현하기가 매우 어렵거나 필요한 인건비로 인해 비실용적이거나 완전히 불가능한 기능을 얻을 수 있습니다. 그 중 가장 흥미로운 점을 살펴보겠습니다.

교통공학(TE)

TE에는 라우팅 프로토콜에 의해 형성된 표준 경로에서 트래픽이 분기되도록 허용하는 메커니즘이 포함되어 있습니다. TE는 오류 발생 시 더 나은 서비스 품질이나 복구 속도를 보장하기 위해 중요한 트래픽을 대체(분리된) 전송 경로로 신속하고/또는 사전에 전송하는 기능을 통해 네트워크 서비스의 고가용성을 보장하는 데 자주 사용됩니다. 주요 경로에.

TE 구현의 어려움은 대체 경로를 미리 계산하고 예약(확인)해야 한다는 점입니다. 통신 사업자의 MPLS 네트워크에서는 IGP 프로토콜 및 RSVP 프로토콜을 확장한 MPLS 트래픽 엔지니어링과 같은 기술을 사용하여 이 문제를 해결합니다. 또한 최근에는 중앙 집중식 구성 및 오케스트레이션에 더욱 최적화된 세그먼트 라우팅 기술이 점점 더 대중화되고 있습니다. 기존 WAN 네트워크에서 이러한 기술은 일반적으로 표현되지 않거나 트래픽을 분기할 수 있는 PBR(정책 기반 라우팅)과 같은 홉별 메커니즘을 사용하는 것으로 축소되지만 이를 각 라우터에서 별도로 구현합니다. 네트워크 또는 PBR의 전반적인 상태를 고려하여 이전 또는 후속 단계를 수행합니다. 이러한 TE 옵션을 사용한 결과는 실망스럽습니다. MPLS TE는 구성 및 운영의 복잡성으로 인해 일반적으로 네트워크(코어)의 가장 중요한 부분에서만 사용되며 PBR은 별도의 라우터 없이 개별 라우터에서 사용됩니다. 전체 네트워크에 대한 통합 PBR 정책을 생성하는 기능. 분명히 이는 DMVPN 기반 네트워크에도 적용됩니다.

이와 관련하여 SD-WAN은 구성이 쉬울 뿐만 아니라 확장성이 훨씬 뛰어난 훨씬 더 우아한 솔루션을 제공합니다. 이는 사용된 제어 평면 및 정책 평면 아키텍처의 결과입니다. SD-WAN에서 정책 평면을 구현하면 TE 정책을 중앙에서 정의할 수 있습니다. 관심 있는 트래픽은 무엇입니까? 어떤 VPN에 대해? 어떤 노드/터널을 통해 대체 경로를 형성하는 것이 필요하거나 반대로 금지됩니까? 결과적으로, vSmart 컨트롤러를 기반으로 하는 컨트롤 플레인 관리의 중앙 집중화를 통해 개별 장치의 설정에 의존하지 않고도 라우팅 결과를 수정할 수 있습니다. 라우터는 이미 vManage 인터페이스에서 생성되어 사용하기 위해 전송된 논리의 결과만 볼 수 있습니다. vSmart.

서비스 체인

서비스 체인을 형성하는 것은 이미 설명한 트래픽 엔지니어링 메커니즘보다 클래식 라우팅에서 훨씬 더 노동 집약적인 작업입니다. 실제로 이 경우 특정 네트워크 애플리케이션에 대한 특수 경로를 생성하는 것뿐만 아니라 SD-WAN 네트워크의 특정(또는 모든) 노드에서 네트워크에서 트래픽을 제거하여 처리할 수 있는 기능도 보장해야 합니다. 특수 애플리케이션 또는 서비스(방화벽, 밸런싱, 캐싱, 검사 트래픽 등) 동시에 블랙홀링 상황을 방지하기 위해 이러한 외부 서비스의 상태를 제어할 수 있어야 하며, 동일한 유형의 외부 서비스가 서로 다른 지리적 위치에 배치될 수 있도록 하는 메커니즘도 필요합니다. 특정 지점의 트래픽을 처리하기 위해 가장 최적의 서비스 노드를 자동으로 선택하는 네트워크 기능이 있습니다. Cisco SD-WAN의 경우 대상 서비스 체인의 모든 측면을 하나의 전체로 "접착"하고 해당 위치에서만 데이터 플레인 및 제어 플레인 로직을 자동으로 변경하는 적절한 중앙 집중식 정책을 생성하면 이를 쉽게 달성할 수 있습니다. 그리고 필요할 때.

특수한(SD-WAN 네트워크 자체와는 관련이 없음) 장비에서 특정 순서로 선택한 애플리케이션 유형의 트래픽을 지리적으로 분산 처리하는 기능은 아마도 Cisco SD-WAN이 기존에 비해 갖는 장점을 가장 분명하게 보여주는 것일 것입니다. 기술 및 일부 대체 SD 솔루션(다른 제조업체의 WAN)도 있습니다.

결과는 어떻습니까?

분명히 DMVPN(성능 라우팅 포함 또는 제외)과 Cisco SD-WAN 모두 결국 매우 유사한 문제를 해결하게 됩니다. 조직의 분산 WAN 네트워크와 관련됩니다. 동시에 Cisco SD-WAN 기술의 중요한 아키텍처 및 기능적 차이로 인해 이러한 문제를 해결하는 프로세스가 진행됩니다. 다른 품질 수준으로. 요약하면 SD-WAN과 DMVPN/PfR 기술 간의 중요한 차이점은 다음과 같습니다.

DMVPN/PfR은 일반적으로 오버레이 VPN 네트워크 구축을 위해 오랜 시간 테스트된 기술을 사용하며 데이터 플레인 측면에서 최신 SD-WAN 기술과 유사하지만 필수 정적 구성 형태에는 여러 가지 제한 사항이 있습니다. 라우터 및 토폴로지 선택은 Hub-n-Spoke로 제한됩니다. 반면, DMVPN/PfR에는 SD-WAN 내에서 아직 사용할 수 없는 일부 기능이 있습니다(애플리케이션별 BFD에 대해 이야기하고 있습니다).
제어 평면 내에서 기술은 근본적으로 다릅니다. SD-WAN은 특히 신호 프로토콜의 중앙 집중식 처리를 고려하여 장애 도메인을 크게 줄이고 신호 상호 작용에서 사용자 트래픽 전송 프로세스를 "분리"할 수 있습니다. 컨트롤러를 일시적으로 사용할 수 없어도 사용자 트래픽 전송 기능에 영향을 미치지 않습니다. . 동시에, 특정 분기(중앙 분기 포함)를 일시적으로 사용할 수 없어도 다른 분기가 서로 및 컨트롤러와 상호 작용하는 기능에는 어떤 식으로든 영향을 미치지 않습니다.
SD-WAN의 경우 트래픽 관리 정책의 형성 및 적용을 위한 아키텍처도 DMVPN/PfR의 아키텍처보다 우수합니다. 지리적 예약이 훨씬 더 잘 구현되고 허브에 연결되지 않으며 벌금을 부과할 기회가 더 많습니다. -정책 조정, 구현된 트래픽 관리 시나리오 목록도 훨씬 더 큽니다.
솔루션 조정 프로세스도 크게 다릅니다. DMVPN은 구성에 어떻게든 반영되어야 하는 이전에 알려진 매개변수가 있다고 가정하므로 솔루션의 유연성과 동적 변경 가능성이 다소 제한됩니다. 결과적으로 SD-WAN은 연결 초기에 라우터가 컨트롤러에 대해 "아무것도 모르지만" "누구에게 물어볼 수 있는지"를 아는 패러다임을 기반으로 합니다. 이는 자동으로 통신을 설정하는 것뿐만 아니라 컨트롤러뿐만 아니라 완전히 연결된 데이터 플레인 토폴로지를 자동으로 형성하여 정책을 사용하여 유연하게 구성/변경할 수 있습니다.
중앙 집중식 관리, 자동화 및 모니터링 측면에서 SD-WAN은 기존 기술에서 발전하고 CLI 명령줄과 템플릿 기반 NMS 시스템 사용에 더 많이 의존하는 DMVPN/PfR의 기능을 능가할 것으로 예상됩니다.
SD-WAN에서는 DMVPN과 비교하여 보안 요구 사항이 질적으로 다른 수준에 도달했습니다. 주요 원칙은 제로 트러스트, 확장성, 이중 인증입니다.

이러한 단순한 결론은 DMVPN/PfR을 기반으로 한 네트워크를 만드는 것이 오늘날 모든 관련성을 잃었다는 잘못된 인상을 줄 수 있습니다. 물론 이것은 전적으로 사실이 아닙니다. 예를 들어, 네트워크가 오래된 장비를 많이 사용하고 이를 교체할 방법이 없는 경우 DMVPN을 사용하면 앞서 설명한 많은 이점을 통해 "오래된" 장치와 "새" 장치를 단일 지리적 분산 네트워크로 결합할 수 있습니다. 위에.

반면, 현재 IOS XE(ISR 1000, ISR 4000, ASR 1000, CSR 1000v)를 기반으로 하는 모든 Cisco 기업 라우터는 클래식 라우팅과 DMVPN 및 SD-WAN 등 모든 운영 모드를 지원한다는 점을 기억해야 합니다. 선택은 현재의 요구와 언제든지 동일한 장비를 사용하여 더욱 발전된 기술을 향해 나아갈 수 있다는 이해에 따라 결정됩니다.

출처 : habr.com

Cisco SD-WAN은 DMVPN이 있는 지점을 차단합니까?