Cisco SD-WAN은 DMVPN이 있는 지점을 차단합니까?

2017년 XNUMX월 시스코가 Viptela를 인수한 이후, 시스코는 분산형 엔터프라이즈 네트워킹 분야에서 이 회사의 주요 솔루션이 되었습니다. 시스코 SD-WAN지난 3년 동안 SD-WAN 기술은 질적, 양적으로 많은 변화를 겪었습니다. 그 결과, 기능이 크게 확장되었고 해당 시리즈의 기존 라우터에서도 지원이 가능해졌습니다. Cisco ISR 1000, ISR 4000, ASR 1000 및 가상 CSR 1000v. 동시에 많은 Cisco 고객과 파트너는 계속해서 스스로에게 다음과 같은 질문을 던집니다. Cisco SD-WAN과 다음과 같은 기술을 기반으로 하는 이미 익숙한 접근 방식의 차이점은 무엇입니까? 시스코 DMVPN и 시스코 성능 라우팅 그리고 이러한 차이점은 얼마나 중요한가요?

여기서 주목할 점은 SD-WAN이 Cisco 포트폴리오에 등장하기 전에 DMVPN과 PfR이 아키텍처의 핵심 부분을 구성했다는 것입니다. 시스코 IWAN(인텔리전트 WAN)이는 본격적인 SD-WAN 기술의 전신이었습니다. 작업 자체와 해결 방법의 전반적인 유사성에도 불구하고, IWAN은 SD-WAN에 필요한 수준의 자동화, 유연성 및 확장성을 갖추지 못했으며, 시간이 지남에 따라 IWAN 개발 속도가 크게 둔화되었습니다. 동시에 IWAN 구성 요소 기술 자체는 사라지지 않았으며, 많은 고객이 최신 장비를 포함하여 이러한 기술을 성공적으로 사용하고 있습니다. 결과적으로 흥미로운 상황이 발생했습니다. 동일한 Cisco 장비를 사용하여 고객의 요구 사항과 기대에 따라 가장 적합한 WAN 구축 기술(클래식, DMVPN + PfR 또는 SD-WAN)을 선택할 수 있게 된 것입니다.

이 글에서는 Cisco SD-WAN 및 DMVPN 기술(성능 라우팅 포함 여부와 관계없이)의 모든 기능을 자세히 분석하는 것이 아닙니다. 관련 문서와 자료는 매우 많습니다. 핵심은 이러한 기술 간의 주요 차이점을 평가하는 것입니다. 하지만 이러한 차이점에 대해 논의하기 전에 기술 자체를 간략하게 살펴보겠습니다.

Cisco DMVPN이란 무엇이고 왜 필요한가요?

Cisco DMVPN은 인터넷(채널 암호화 포함)을 비롯한 모든 유형의 통신 채널을 사용하여 원격 지사 네트워크와 기업 중앙 네트워크 간의 동적(확장 가능한) 연결 문제를 해결합니다. 기술적으로는 L3급 가상화 오버레이 네트워크를 생성함으로써 구현됩니다. VPN 논리적 스타(허브 앤 스포크) 토폴로지를 사용하는 포인트-투-멀티포인트 모드입니다. 이를 위해 DMVPN은 다음과 같은 기술들을 조합하여 사용합니다.

• IP 라우팅
• 멀티포인트 GRE 터널(mGRE)
• 다음 홉 해결 프로토콜(NHRP)
• IPSec 암호화 프로필

MPLS VPN 채널을 사용하는 기존 라우팅과 비교했을 때 Cisco DMVPN의 주요 장점은 무엇입니까?

• 지점 간 네트워크를 구축하기 위해서는 모든 통신 채널을 사용할 수 있습니다. 지점 간 IP 연결을 제공할 수 있는 모든 채널이 적합하며, 트래픽은 암호화(필요한 경우)되고 균형이 맞춰집니다(가능한 경우).
• 지점 간에 완전히 연결된 토폴로지가 자동으로 형성됩니다. 이 경우 중앙 지점과 원격 지점 사이에는 정적 터널이 있고, 원격 지점 사이에는 트래픽이 있을 경우 필요에 따라 동적 터널이 있습니다.
• 중앙 지점과 원격 지점의 라우터는 정확도가 동일한 구성을 가지고 있습니다. IP 주소 인터페이스. mGRE를 사용하면 수십, 수백, 심지어 수천 개의 터널을 개별적으로 구성할 필요가 없어집니다. 따라서 적절하게 설계하면 뛰어난 확장성을 확보할 수 있습니다.

시스코 퍼포먼스 라우팅이란 무엇이고 왜 필요한가요?

지점 간 네트워크에서 DMVPN을 사용할 때, 매우 중요한 질문 하나가 여전히 해결되지 않은 채 남아 있습니다. 바로 각 DMVPN 터널의 상태를 동적으로 평가하여 조직에 중요한 트래픽 요구 사항을 준수하는지 확인하고, 이러한 평가 결과를 바탕으로 동적으로 재라우팅 여부를 결정하는 방법입니다. 사실 이 부분에서 DMVPN은 기존 라우팅과 크게 다르지 않습니다. 최선의 방법은 송신 방향 트래픽의 우선순위를 지정하는 QoS 메커니즘을 구성하는 것이지만, 특정 시점에 전체 경로의 상태를 고려할 수는 없습니다.

채널이 완전히는 아니지만 부분적으로만 저하되는 경우, 어떻게 감지하고 평가할 수 있을까요? DMVPN 자체로는 이를 수행할 수 없습니다. 지점을 연결하는 채널이 완전히 다른 기술을 사용하는 완전히 다른 통신 사업자를 통과할 수 있다는 점을 고려하면, 이 작업은 매우 간단하지 않습니다. 바로 이 부분에서 시스코 퍼포먼스 라우팅 기술이 도움을 주는데, 당시 이미 여러 단계의 개발 과정을 거쳤습니다.

Cisco Performance Routing(이하 PfR)의 작업은 네트워크 애플리케이션에 중요한 핵심 지표를 기반으로 트래픽 경로(터널)의 상태를 측정하는 것으로 귀결됩니다. 지연 시간, 지연 시간 변화(지터) 및 패킷 손실(백분율)또한, 사용된 대역폭을 측정할 수 있습니다. 이러한 측정은 가능한 한 실시간에 가깝게(가능하고 타당한 범위 내에서) 이루어지며, PfR을 사용하는 라우터는 이러한 측정 결과를 바탕으로 특정 유형의 트래픽 라우팅 변경 필요성에 대한 동적인 결정을 내릴 수 있습니다.

따라서 DMVPN/PfR 조합의 작업은 다음과 같이 간략하게 특징지을 수 있습니다.

• 고객이 WAN 네트워크의 모든 통신 채널을 사용할 수 있도록 허용합니다.
• 이러한 채널에서 중요한 애플리케이션의 최고 품질을 보장합니다.

Cisco SD-WAN이란 무엇인가요?

Cisco SD-WAN은 SDN 방식을 사용하여 조직의 WAN 네트워크를 구축하고 운영하는 기술입니다. 이는 구체적으로 솔루션의 모든 구성 요소에 대한 중앙 집중식 오케스트레이션과 자동화된 구성을 제공하는 소위 컨트롤러(소프트웨어 요소)를 사용하는 것을 의미합니다. 정식 SDN(클린 슬레이트 방식)과 달리, Cisco SD-WAN은 여러 유형의 컨트롤러를 동시에 사용하며, 각 컨트롤러는 고유한 역할을 수행합니다. 이는 더 나은 확장성과 지리적 이중화를 제공하기 위해 의도적으로 구현된 것입니다.

SD-WAN의 경우, 모든 유형의 채널을 활용하고 비즈니스 애플리케이션의 운영을 보장하는 작업은 동일하게 유지되지만, 동시에 해당 네트워크의 자동화, 확장성, 보안 및 유연성에 대한 요구 사항이 확대되고 있습니다.

차이점에 대한 토론

이제 우리가 이들 기술 간의 차이점을 분석하기 시작하면, 이들은 다음 범주 중 하나에 속하게 됩니다.

• 아키텍처의 차이점 – 솔루션의 다양한 구성 요소에 기능이 어떻게 분산되어 있습니까? 이러한 구성 요소의 상호 작용은 어떻게 구성되어 있습니까? 이는 기술의 기능과 유연성에 어떤 영향을 미칩니까?
• 기능성 - 어떤 기술은 다른 기술에 비해 무엇을 할 수 있을까요? 그리고 그것이 정말 중요할까요?

건축학적 차이점은 무엇이고 중요한가요?

위에서 언급한 각 기술은 역할뿐만 아니라 상호 작용 원리에서도 서로 다른 많은 "움직이는 부분"을 가지고 있습니다. 솔루션의 확장성, 내결함성, 그리고 전반적인 효율성은 이러한 원리들이 얼마나 잘 고안되었는지, 그리고 솔루션의 전반적인 메커니즘이 얼마나 잘 구현되었는지에 따라 직접적으로 결정됩니다.

건축의 다양한 측면을 더 자세히 살펴보겠습니다.

데이터 평면 – 소스와 수신자 간의 사용자 트래픽 전송을 담당하는 솔루션의 일부입니다. DMVPN과 SD-WAN에서는 멀티포인트 GRE 터널을 기반으로 라우터 자체에서 일반적으로 유사한 방식으로 구현됩니다. 차이점은 이러한 터널에 필요한 매개변수 집합이 형성되는 방식입니다.

• в DMVPN/PfR – "스타" 또는 허브-스포크 토폴로지를 사용하는 2단계 노드 계층 구조입니다. 허브의 정적 구성과 허브에 대한 스포크의 정적 바인딩은 필수이며, 데이터 플레인 연결을 형성하기 위해 NHRP 프로토콜을 통한 상호 작용도 필수입니다. 결과적으로, 허브 변경은 훨씬 더 어렵습니다.예를 들어, 새로운 WAN 채널을 변경/연결하거나 기존 채널의 매개변수를 변경하는 것과 관련이 있습니다.
• в SD-WAN – 제어 플레인(OMP 프로토콜) 및 오케스트레이션 플레인(컨트롤러 감지 및 NAT 트래버설 작업을 위한 vBond 컨트롤러와의 상호작용)을 기반으로 설정되는 터널의 매개변수를 감지하는 완전 동적 모델입니다. 동시에, 중첩된 토폴로지는 계층형을 포함하여 어떤 것이든 가능합니다. 설정된 중첩 터널 토폴로지 내에서 각 개별 VPN(VRF)의 논리적 토폴로지를 유연하게 구성할 수 있습니다.

제어 평면 – 솔루션 구성 요소 간의 경로 및 기타 정보를 교환, 필터링 및 수정하는 기능.

• в DMVPN/PfR – 허브와 스포크 라우터 간에만 수행됩니다. 스포크 간에는 라우팅 정보를 직접 교환할 수 없습니다. 따라서 작동하는 허브가 없으면 제어 평면과 데이터 평면이 작동할 수 없습니다.이로 인해 허브에 추가적인 고가용성 요구 사항이 부과되고 이는 항상 충족될 수는 없습니다.
• в SD-WAN – 제어 평면은 라우터 간에 직접 구현되지 않습니다. – 상호 작용은 OMP 프로토콜을 기반으로 하며, 신호 부하의 균형 조정, 지리적 예약 및 중앙 집중식 제어 기능을 제공하는 별도의 특수 vSmart 컨트롤러를 통해 구현됩니다. OMP 프로토콜의 또 다른 특징은 손실에 대한 뛰어난 저항성과 컨트롤러와의 통신 채널 속도에 대한 독립성입니다(물론 합리적인 한계 내에서). 이를 통해 인터넷 접속이 가능한 퍼블릭 또는 프라이빗 클라우드에 SD-WAN 컨트롤러를 성공적으로 배치할 수 있습니다.

정책 평면 – 분산 네트워크에서 트래픽 관리 정책을 정의, 배포 및 적용하는 역할을 하는 솔루션의 일부입니다.

• DMVPN – 각 라우터에서 CLI 또는 Prime Infrastructure 템플릿을 통해 개별적으로 구성된 서비스 품질(QoS) 정책에 의해 효과적으로 제한됩니다.
• DMVPN/PfR – PfR 정책은 CLI를 통해 중앙 마스터 컨트롤러(MC) 라우터에서 생성된 후 지점 MC에 자동으로 배포됩니다. 데이터 플레인과 동일한 정책 전송 경로가 사용됩니다. 정책, 라우팅 정보 및 사용자 데이터의 교환을 분리할 수 없습니다. 정책 배포에는 허브와 스포크 간의 필수 IP 연결이 필요합니다. 이 경우, 필요한 경우 MC 기능을 DMVPN 라우터와 결합할 수 있습니다. 중앙 집중식 정책 생성을 위해 Prime Infrastructure 템플릿을 사용할 수 있지만 필수는 아닙니다. 중요한 특징은 정책이 네트워크 전체에서 동일한 방식으로 전역적으로 생성된다는 것입니다. 개별 세그먼트에 대한 개별 정책은 지원되지 않습니다..
• SD-WAN – 트래픽 관리 및 서비스 품질 정책은 Cisco vManage 그래픽 인터페이스를 통해 중앙에서 정의되며, 필요한 경우 인터넷을 통해서도 사용할 수 있습니다. 이러한 정책은 정책 유형에 따라 vSmart 컨트롤러를 통해 신호 채널을 통해 직접 또는 간접적으로 배포됩니다. 컨트롤러와 라우터 간의 모든 사용 가능한 트래픽 전송 경로를 사용하므로 라우터 간 데이터 플레인 연결에 의존하지 않습니다.

  다양한 네트워크 세그먼트에 대해 유연하게 다양한 정책을 만들 수 있습니다. 정책의 범위는 솔루션에 제공된 고유 식별자(지점 번호, 애플리케이션 유형, 트래픽 방향 등) 세트에 따라 결정됩니다.

오케스트레이션 플레인 – 구성 요소가 서로를 동적으로 검색하고, 이후 상호 작용을 구성하고 조정할 수 있도록 하는 메커니즘입니다.

• в DMVPN/PfR 라우터의 상호 검색은 허브 장치의 정적 구성과 Spoke 장치의 해당 설정을 기반으로 합니다. 동적 검색은 Spoke에서만 발생하며, Spoke는 허브 장치에 연결 매개변수를 보고하고, 허브 장치는 Spoke에 미리 구성됩니다. Spoke에서 최소한 하나의 허브로의 IP 연결이 없으면 데이터 플레인이나 제어 플레인을 형성하는 것이 불가능합니다.
• в SD-WAN 솔루션 구성 요소의 오케스트레이션은 vBond 컨트롤러를 사용하여 이루어지며, 각 구성 요소(라우터 및 vManage/vSmart 컨트롤러)는 먼저 IP 연결을 설정해야 합니다.

  처음에는 구성 요소들이 서로의 연결 매개변수를 알지 못합니다. 이를 위해 vBond 오케스트레이터 중개자가 필요합니다. 일반적인 원리는 다음과 같습니다. 초기 단계에서 각 구성 요소는 vBond에 대한 연결 매개변수만 (자동 또는 정적으로) 학습합니다. 그런 다음 vBond는 라우터에 앞서 검색한 vManage 및 vSmart 컨트롤러에 대한 정보를 제공하여 필요한 모든 신호 연결을 자동으로 구축합니다.

  다음 단계는 새 라우터가 vSmart 컨트롤러와 OMP 통신을 통해 네트워크의 다른 라우터에 대해 학습하는 것입니다. 이를 통해 라우터는 처음에는 네트워크 매개변수에 대해 아무것도 알지 못하더라도 컨트롤러를 완전히 자동으로 감지하고 연결할 수 있으며, 이후 다른 라우터도 자동으로 감지하고 연결할 수 있습니다. 동시에 모든 구성 요소의 연결 매개변수는 초기에는 알려지지 않으며 작동 중에 변경될 수 있습니다.

관리 평면 – 중앙 관리 및 모니터링을 제공하는 솔루션의 일부입니다.

• DMVPN/PfR – 전문화된 관리 플레인 솔루션은 없습니다. 기본적인 자동화 및 모니터링을 위해서는 Cisco Prime Infrastructure와 같은 제품을 사용할 수 있습니다. 각 라우터는 CLI 명령줄을 통해 관리할 수 있습니다. API를 통한 외부 시스템과의 통합은 제공되지 않습니다.
• SD-WAN – 모든 정기적인 상호작용 및 모니터링은 vManage 컨트롤러의 그래픽 인터페이스를 통해 중앙에서 수행됩니다. 솔루션의 모든 기능은 예외 없이 vManage를 통해 구성할 수 있으며, 완벽하게 문서화된 REST API 소프트웨어 인터페이스 라이브러리를 통해서도 사용할 수 있습니다.

  vManage의 모든 SD-WAN 네트워크 설정은 두 가지 주요 구성 요소, 즉 장치 템플릿(장치 템플릿) 생성과 네트워크 운영 및 트래픽 처리 로직을 결정하는 정책 생성으로 요약됩니다. 동시에, vManage는 관리자가 생성한 정책을 전송하여 어떤 변경 사항을 적용할지, 어떤 장치/컨트롤러에 적용할지 자동으로 선택하므로 솔루션의 효율성과 확장성이 크게 향상됩니다.

  vManage 인터페이스를 사용하면 Cisco SD-WAN 솔루션을 구성할 수 있을 뿐만 아니라 DPI 분석을 기반으로 한 다양한 애플리케이션 사용에 대한 통계와 개별 터널 메트릭의 현재 상태를 포함하여 솔루션의 모든 구성 요소 상태를 완벽하게 모니터링할 수 있습니다.

  상호 작용이 중앙 집중화되어 있음에도 불구하고, 모든 구성 요소(컨트롤러 및 라우터)에는 구현 단계 또는 로컬 진단을 위한 비상 상황에 필요한 완전한 기능의 CLI 명령줄이 있습니다. 일반 모드(구성 요소 간에 신호 채널이 있는 경우)에서 라우터의 명령줄은 진단용으로만 사용 가능하며 로컬 변경에는 사용할 수 없습니다. 이를 통해 로컬 보안과 해당 네트워크에서 유일한 변경 소스인 vManage를 모두 보장할 수 있습니다.

통합 보안 – 여기서는 개방형 채널을 통해 전송될 때 사용자 데이터를 보호하는 것뿐만 아니라 선택된 기술을 기반으로 한 WAN 네트워크의 전반적인 보안에 대해서도 이야기해야 합니다.

• в DMVPN/PfR 사용자 데이터와 신호 프로토콜을 암호화할 수 있습니다. 특정 라우터 모델을 사용하는 경우, 트래픽 검사 기능이 있는 방화벽, IPS/IDS 등의 추가 기능을 사용할 수 있습니다. VRF를 사용하여 지점 네트워크를 분할할 수 있습니다. (단일 요소) 제어 프로토콜을 인증할 수 있습니다.

  이 경우 원격 라우터는 기본적으로 네트워크의 신뢰할 수 있는 요소로 간주됩니다. 즉, 개별 장치의 물리적 손상 사례와 이에 대한 무단 액세스 가능성은 가정하거나 고려하지 않으며 솔루션 구성 요소에 대한 2단계 인증이 없습니다. 지리적으로 분산된 네트워크의 경우 심각한 추가 위험이 있을 수 있습니다.

• в SD-WAN DMVPN과 유사하게 사용자 데이터 암호화 기능을 제공하지만, 네트워크 보안 및 L3/VRF 분할 기능(MSE, IPS/IDS, URL 필터링, DNS 필터링, AMP/TG, SASE, TLS/SSL 프록시 등)이 대폭 강화되었습니다. 동시에 암호화 키 교환은 보안 인증서 기반 DTLS/TLS 암호화로 보호되는 사전 설정된 신호 채널을 통해 vSmart 컨트롤러를 통해(직접적인 방식이 아닌) 더욱 효율적으로 수행됩니다. 이를 통해 교환의 보안이 보장되고 단일 네트워크에서 최대 수만 대의 장치를 지원하는 솔루션 확장성이 향상됩니다.

  모든 신호 연결(컨트롤러 간, 컨트롤러와 라우터 간)은 DTLS/TLS를 사용하여 보호됩니다. 라우터는 생산 과정에서 보안 인증서가 적용되며, 교체/확장 가능합니다. 2단계 인증은 SD-WAN 네트워크에서 라우터/컨트롤러가 작동하기 위한 두 가지 조건을 동시에 충족해야 합니다.

  • 유효한 안전 인증서
  • 관리자가 허용 장치의 "화이트" 목록에 각 구성 요소를 명시적이고 의식적으로 포함합니다.

SD-WAN과 DMVPN/PfR의 기능적 차이점

기능적 차이점에 대한 논의로 넘어가면서, 이러한 차이점 중 상당수가 아키텍처 측면의 차이점을 계승한다는 점에 유의해야 합니다. 솔루션 아키텍처를 설계할 때 개발자는 최종적으로 원하는 기능부터 시작한다는 것은 누구나 아는 사실입니다. 두 기술의 가장 중요한 차이점을 살펴보겠습니다.

AppQ(애플리케이션 품질) - 비즈니스 애플리케이션 트래픽 전송 품질을 보장하기 위한 기능

고려 중인 기술의 핵심 기능은 분산 네트워크에서 비즈니스에 중요한 애플리케이션을 사용할 때 사용자 경험을 최대한 향상시키는 것을 목표로 합니다. 이는 인프라의 일부가 IT 부서의 통제를 받지 않거나 성공적인 데이터 전송을 보장하지 못하는 상황에서 특히 중요합니다.

DMVPN은 자체적으로 이러한 메커니즘을 제공하지 않습니다. 기존 DMVPN 네트워크에서 할 수 있는 최선의 방법은 애플리케이션별로 나가는 트래픽을 분류하고 WAN 채널로 전송할 때 우선순위를 지정하는 것입니다. 이 경우 DMVPN 터널의 선택은 가용성과 라우팅 프로토콜의 결과에 의해서만 결정됩니다. 동시에 경로/터널의 종단 간 상태와 네트워크 애플리케이션에 중요한 주요 지표(지연, 지연 변동(지터), 손실률(%)) 측면에서 발생할 수 있는 부분적 성능 저하 가능성은 고려되지 않습니다. 이러한 점에서 AppQ 문제 해결 측면에서 기존 DMVPN과 SD-WAN을 직접 비교하는 것은 의미가 없습니다. DMVPN은 이 문제를 해결할 수 없습니다. 이러한 맥락에 Cisco Performance Routing(PfR) 기술을 추가하면 상황이 달라지고 Cisco SD-WAN과의 비교가 더 적절해집니다.

차이점을 살펴보기 전에, 두 기술의 유사점을 간략히 살펴보겠습니다. 두 기술은 다음과 같습니다.

• 최소한 지연, 지연 변화 및 패킷 손실(%)을 포함하여 각 터널의 상태를 특정 측정 항목에 따라 동적으로 평가할 수 있는 메커니즘을 갖추고 있습니다.
• 주요 터널 지표의 상태를 측정한 결과에 따라 교통 관리 규칙(정책)을 생성, 배포 및 적용하기 위해 특정 도구 세트를 사용합니다.
• 라우터에 내장된 DPI 메커니즘을 기반으로 OSI 모델의 L3-L4(DSCP) 레벨 또는 L7 애플리케이션 시그니처에서 애플리케이션 트래픽을 분류합니다.
• 임계값을 초과할 때 메트릭, 기본 트래픽 전송 규칙 및 트래픽 재라우팅 규칙에 대한 허용 가능한 임계값을 정의할 수 있는 중요한 애플리케이션이 허용됩니다.
• GRE/IPSec에서 트래픽을 캡슐화할 때 업계에서 확립된 메커니즘을 사용하여 내부 DSCP 표시를 외부 GRE/IPSec 패킷 헤더로 전송합니다. 이를 통해 조직과 통신 사업자의 QoS 정책을 동기화할 수 있습니다(적절한 SLA가 있는 경우).

SD-WAN과 DMVPN/PfR의 엔드투엔드 메트릭 메커니즘은 어떻게 다릅니까?

DMVPN/PfR

• 표준 터널 상태 지표를 평가하기 위해 능동 및 수동 소프트웨어 센서(프로브)가 모두 사용됩니다. 능동 센서는 사용자 트래픽을 기반으로 하고, 수동 센서는 사용자 트래픽이 없는 경우 해당 트래픽을 에뮬레이션합니다.
• 타이머와 성능 저하 감지 조건에 대한 미세 조정은 없습니다. 알고리즘은 고정되어 있습니다.
• 또한, 발신 방향의 사용 대역폭을 측정할 수 있습니다. 이를 통해 DMVPN/PfR은 트래픽 관리에 있어 추가적인 유연성을 확보할 수 있습니다.
• 동시에, 일부 PfR 메커니즘은 메트릭이 초과될 때 특수 TCA(Threshold Crossing Alert) 메시지 형태의 피드백 신호에 의존합니다. 이 메시지는 트래픽 수신자에서 소스로 전송되어야 하며, 소스는 측정된 채널의 상태가 최소한 이러한 TCA 메시지를 전송할 수 있을 만큼 충분해야 한다고 가정합니다. 이는 대부분의 경우 문제가 되지 않지만, 당연히 보장할 수는 없습니다.

SD-WAN

• 에코 모드의 BFD 프로토콜은 표준 터널 상태 메트릭의 종단 간 평가에 사용됩니다. TCA 또는 유사 메시지 형태의 특별한 피드백은 필요하지 않으며, 장애 도메인의 격리가 유지됩니다. 터널 상태 평가에 사용자 트래픽 존재 여부도 필요하지 않습니다.
• BFD 타이머를 미세 조정하여 통신 채널 저하에 대한 알고리즘의 응답 속도와 민감도를 몇 초에서 몇 분까지 조절할 수 있습니다.

  

• 이 글을 쓰는 시점에서 각 터널은 하나의 BFD 세션만 지원합니다. 이로 인해 터널 상태 분석의 세분성이 떨어질 수 있습니다. 실제로 이는 합의된 QoS SLA를 사용하는 MPLS L2/L3 VPN 기반 WAN 연결을 사용할 때만 제한이 될 수 있습니다. IPSec/GRE로 캡슐화된 BFD 트래픽의 DSCP 표시가 통신사 네트워크의 높은 우선순위 대기열과 일치하는 경우, 낮은 우선순위 트래픽에 대한 성능 저하 감지의 정확도와 속도에 영향을 미칠 수 있습니다. 동시에, 이러한 상황의 위험을 줄이기 위해 기본 BFD 표시를 변경할 수 있습니다. 향후 Cisco SD-WAN 소프트웨어 버전에서는 더욱 세밀한 BFD 구성과 함께 단일 터널 내에서 개별 DSCP 값(다양한 애플리케이션용)을 사용하여 여러 BFD 세션을 시작할 수 있는 기능이 제공될 예정입니다.
• BFD를 사용하면 단편화 없이 주어진 터널을 통해 전송 가능한 최대 패킷 크기를 예측할 수 있습니다. 이를 통해 SD-WAN은 MTU 및 TCP MSS 조정과 같은 매개변수를 동적으로 조정하여 각 링크의 가용 대역폭을 가장 효율적으로 사용할 수 있습니다.
• SD-WAN은 L3 DSCP 필드뿐만 아니라 지점 네트워크에서 특수 장치(예: IP 전화)를 통해 자동으로 생성될 수 있는 L2 CoS 값을 기반으로도 통신 사업자와 QoS를 동기화하는 옵션을 제공합니다.

AppQ 정책의 기능, 정의 및 적용 방법은 어떻게 다릅니까?

DMVPN/PfR 정책:

• CLI 명령줄 또는 CLI 구성 템플릿을 통해 중앙 브랜치(CB)의 라우터에 정의됩니다. CLI 템플릿을 작성하려면 정책 구문에 대한 준비 및 지식이 필요합니다.

  

• 전 세계적으로 정의됨 개별 네트워크 세그먼트의 요구 사항을 충족하기 위해 개별적으로 사용자 정의/변경이 불가능합니다.
• 그래픽 인터페이스에서는 대화형 정책 생성 기능이 제공되지 않습니다.
• 변경 사항 추적, 상속 또는 빠른 전환을 위한 여러 버전의 정책 생성 기능이 없습니다.
• 원격 지점의 라우터에 자동으로 배포됩니다. 사용자 데이터 전송에는 동일한 통신 채널이 사용됩니다. 중앙 지점과 원격 지점 간에 통신 채널이 없으면 정책을 배포하거나 변경할 수 없습니다.
• 이러한 프로토콜은 각 라우터에 적용되며, 필요한 경우 더 높은 우선순위를 지정하여 표준 라우팅 프로토콜의 결과를 수정합니다.
• 지점의 모든 WAN 채널에서 상당한 트래픽 손실이 발생하는 경우, 보상 메커니즘이 제공되지 않습니다.

SD-WAN 정책:

• 대화형 템플릿 마법사를 통해 vManage 그래픽 인터페이스에서 정의됩니다.
• 여러 정책 생성, 복사, 상속, 실시간 정책 전환을 지원합니다.
• 다양한 네트워크 세그먼트(지점)에 대한 개별 정책 설정을 지원합니다.
• 이러한 네트워크는 컨트롤러와 라우터 및/또는 vSmart 간의 사용 가능한 모든 신호 채널을 통해 분산되며, 라우터 간의 데이터 플레인 연결에 직접적으로 의존하지 않습니다. 동시에, 라우터 자체와 컨트롤러 간의 IP 연결이 필요합니다.

  

• 사용 가능한 모든 분기 채널에서 중요한 애플리케이션에 대한 허용 임계값을 초과하는 상당한 데이터 손실이 발생하는 경우, 전송 안정성을 높이기 위해 추가 메커니즘을 사용할 수 있습니다.
  • FEC(순방향 오류 정정) – 특수 중복 코딩 알고리즘을 사용합니다. 손실률이 높은 채널을 통해 중요 트래픽을 전송할 때 FEC(전송률 보상)가 자동으로 활성화되어 필요한 경우 손실된 데이터 부분을 복원할 수 있습니다. 동시에 사용 가능한 전송 대역은 약간 증가하지만 안정성은 크게 향상됩니다.

    

  • 데이터 스트림의 복제 – FEC 외에도, 이 정책은 FEC로 보상할 수 없는 훨씬 더 심각한 수준의 손실이 발생할 경우 선택된 애플리케이션의 트래픽을 자동으로 복제하도록 할 수 있습니다. 이 경우, 선택된 데이터는 모든 터널을 통해 수신 지점으로 전송되고 이후 중복 제거(불필요한 패킷 사본 삭제)가 수행됩니다. 이 메커니즘은 채널 활용도를 크게 높일 뿐만 아니라 전송 안정성도 크게 향상시킵니다.

DMVPN/PfR에 직접적인 아날로그가 없는 Cisco SD-WAN 기능

Cisco SD-WAN 솔루션 아키텍처는 경우에 따라 DMVPN/PfR 내에서 구현하기 매우 어렵거나, 필요한 인건비로 인해 비실용적이거나, 심지어는 불가능한 기능들을 허용합니다. 그중 가장 흥미로운 기능들을 살펴보겠습니다.

교통공학(TE)

TE는 라우팅 프로토콜에 의해 형성된 표준 경로에서 트래픽이 분기될 수 있도록 하는 메커니즘을 포함합니다. TE는 주요 경로에 장애가 발생할 경우 더 나은 서비스 품질이나 복구 속도를 보장하기 위해 중요한 트래픽을 대체(교차하지 않는) 전송 경로로 신속하고/또는 사전에 전환할 수 있기 때문에 네트워크 서비스의 고가용성을 보장하는 데 자주 사용됩니다.

TE 구현의 복잡성은 대체 경로를 미리 계산하고 예약(확인)해야 하는 필요성에 있습니다. 통신 사업자의 MPLS 네트워크에서는 IGP 프로토콜 확장을 사용한 MPLS 트래픽 엔지니어링 및 RSVP 프로토콜과 같은 기술을 사용하여 이 문제를 해결합니다. 또한, 최근에는 중앙 집중식 구성 및 오케스트레이션에 더욱 최적화된 세그먼트 라우팅 기술이 인기를 얻고 있습니다. 기존 WAN 네트워크에서는 이러한 기술이 일반적으로 사용되지 않거나 정책 기반 라우팅(PBR)과 같은 홉 바이 홉(hop-by-hop) 메커니즘을 사용하는 것으로 축소됩니다. 정책 기반 라우팅은 트래픽을 분기할 수 있지만, 네트워크의 전반적인 상태나 이전 또는 이후 단계의 PBR 결과를 고려하지 않고 각 라우터에서 개별적으로 구현합니다. 이러한 TE 옵션을 사용하는 결과는 실망스럽습니다. MPLS TE는 구성 및 운영의 복잡성으로 인해 일반적으로 네트워크의 가장 중요한 부분(코어)에서만 사용되고, PBR은 전체 네트워크에 대한 단일 PBR 정책을 형성할 수 없는 개별 라우터에서 사용됩니다. 물론 이는 DMVPN 기반 네트워크에도 적용됩니다.

이러한 측면에서 SD-WAN은 구성이 쉬울 뿐만 아니라 확장성도 훨씬 뛰어난 훨씬 더 세련된 솔루션을 제공합니다. 이는 제어 플레인 및 정책 플레인 아키텍처의 결과입니다. SD-WAN에서 정책 플레인을 구현하면 TE 정책을 중앙에서 정의할 수 있습니다. 어떤 트래픽이 관심 대상인가요? 어떤 VPN에 대한 것인가요? 어떤 노드/터널을 통해 대체 경로를 형성해야 하나요, 아니면 반대로 금지해야 하나요? 또한 vSmart 컨트롤러 기반 제어 플레인 관리를 중앙에서 관리함으로써 개별 장치의 설정에 의존하지 않고 라우팅 결과를 수정할 수 있습니다. 라우터는 vManage 인터페이스에서 생성되어 vSmart에 적용하기 위해 전송된 로직의 결과만 볼 수 있습니다.

서비스 체이닝

서비스 체인을 구축하는 것은 기존 라우팅 방식에서 이미 설명한 트래픽 엔지니어링 메커니즘보다 훨씬 더 많은 노동력을 필요로 하는 작업입니다. 결국, 이 경우 특정 네트워크 애플리케이션을 위한 특수 경로를 구축하는 것뿐만 아니라, SD-WAN 네트워크의 특정(또는 모든) 노드에서 네트워크 트래픽을 출력하여 특수 애플리케이션이나 서비스(MTU, 밸런싱, 캐싱, 트래픽 검사 등)에서 처리할 수 있도록 해야 합니다. 동시에, 블랙홀링 상황을 방지하기 위해 이러한 외부 서비스의 상태를 제어할 수 있어야 하며, 네트워크가 특정 지점의 트래픽을 처리하기 위한 최적의 서비스 노드를 자동으로 선택할 수 있도록 이러한 유사한 외부 서비스를 서로 다른 지리적 위치에 배치할 수 있는 메커니즘도 필요합니다. Cisco SD-WAN의 경우, 대상 서비스 체인의 모든 측면을 하나로 "접착"하고 필요한 경우에만 데이터 플레인과 제어 플레인 로직을 자동으로 변경하는 적절한 중앙 집중식 정책을 구축함으로써 이를 쉽게 달성할 수 있습니다.

특정 유형의 애플리케이션 트래픽을 특정 순서로 지리적으로 분산 처리하고, 이를 SD-WAN 네트워크 자체와는 관련 없는 전문 장비에서 처리하는 기능은 Cisco SD-WAN이 기존 기술 및 다른 제조업체의 일부 대체 SD-WAN 솔루션보다 우수하다는 것을 가장 확실하게 보여주는 사례일 것입니다.

결과는 어떻습니까?

분명히 DMVPN(성능 라우팅 포함 또는 미포함)과 Cisco SD-WAN 모두 결국 매우 유사한 문제를 해결합니다 조직의 분산형 WAN 네트워크와 관련하여. 동시에, Cisco SD-WAN 기술의 중요한 아키텍처 및 기능적 차이점은 이러한 문제를 해결하는 프로세스를 어렵게 만듭니다. 다른 품질 수준으로요약하자면, SD-WAN과 DMVPN/PfR 기술 사이에는 다음과 같은 중요한 차이점이 있습니다.

• DMVPN/PfR은 일반적으로 오버레이 VPN 네트워크 구축에 오랜 시간 검증된 기술을 사용하며, 데이터 플레인 측면에서는 최신 SD-WAN 기술과 유사합니다. 하지만 라우터의 필수 정적 구성과 허브 앤 스포크 토폴로지 선택에 있어 여러 제약이 있습니다. 반면, DMVPN/PfR은 SD-WAN에서 아직 사용할 수 없는 몇 가지 기능(애플리케이션별 BFD)을 제공합니다.
• 제어 평면 내에서 기술은 근본적으로 다릅니다. 신호 프로토콜의 중앙 집중식 처리를 고려할 때, SD-WAN은 특히 장애 발생 범위를 크게 좁히고 사용자 트래픽 전송 프로세스를 신호 상호 작용에서 "분리"할 수 있도록 합니다. 컨트롤러의 일시적인 사용 불능은 사용자 트래픽 전송 능력에 영향을 미치지 않습니다. 동시에, 중앙 지점을 포함한 모든 지점의 일시적인 사용 불능은 다른 지점 간의 상호 작용 및 컨트롤러와의 상호 작용 능력에 영향을 미치지 않습니다.
• SD-WAN의 경우 트래픽 관리 정책을 형성하고 적용하는 아키텍처는 DMVPN/PfR의 아키텍처를 능가합니다. 지리적 예약이 훨씬 더 잘 구현되었고, 허브에 대한 바인딩이 없으며, 정책을 미세 조정할 수 있는 기회가 더 많고, 구현된 트래픽 관리 시나리오 목록도 훨씬 더 많습니다.
• 솔루션의 오케스트레이션 프로세스 또한 상당히 다릅니다. DMVPN은 구성에 어떻게든 반영되어야 하는 미리 알려진 매개변수가 존재한다고 가정하는데, 이는 솔루션의 유연성과 동적 변경 가능성을 다소 제한합니다. 반면 SD-WAN은 연결 초기 시점에 라우터가 컨트롤러에 대해서는 "아무것도 모르지만" "누구에게 물어봐야 할지"는 알고 있다는 패러다임을 기반으로 합니다. 이는 컨트롤러와 자동으로 연결을 설정할 뿐만 아니라 완전히 연결된 데이터 플레인 토폴로지를 자동으로 형성하여 정책을 사용하여 유연하게 구성/변경할 수 있도록 합니다.
• 중앙 집중식 관리, 자동화 및 모니터링 측면에서 SD-WAN은 기존 기술의 발전으로 탄생한 DMVPN/PfR보다 성능이 우수할 것으로 예상됩니다. DMVPN/PfR은 CLI 명령줄과 템플릿 기반 NMS 시스템을 더 많이 사용합니다.
• SD-WAN은 DMVPN에 비해 보안 요구 사항을 완전히 새로운 수준으로 끌어올립니다. 핵심 원칙은 제로 트러스트, 확장성, 그리고 2단계 인증입니다.

이러한 단순한 결론은 DMVPN/PfR 기반 네트워크 구축이 오늘날에는 아무런 의미가 없다는 잘못된 인상을 줄 수 있습니다. 물론 이는 전적으로 사실이 아닙니다. 예를 들어, 네트워크에서 많은 구형 장비가 사용되고 교체가 불가능한 경우, DMVPN을 사용하면 "기존" 장비와 "신규" 장비를 단일 지리적 분산 네트워크로 통합하여 위에서 설명한 다양한 이점을 누릴 수 있습니다.

반면, 현재 IOS XE(ISR 1000, ISR 4000, ASR 1000, CSR 1000v)를 기반으로 하는 모든 Cisco 기업용 라우터는 클래식 라우팅과 DMVPN 및 SD-WAN을 포함한 모든 운영 모드를 지원한다는 점을 기억해야 합니다. 선택은 현재의 필요성과 언제든지 동일한 장비를 사용하여 보다 진보된 기술로 전환할 수 있다는 이해에 따라 결정됩니다.

출처 : habr.com