ProHoster > Blog > Rêveberî > Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Ji Tebaxa 2017-an vir ve, dema ku Cisco Viptela bi dest xist, teknolojiya sereke ya ku ji bo organîzekirina torên pargîdanî yên belavkirî hatî pêşkêş kirin bûye. Cisco SD-WAN. Di van 3 salên çûyî de, teknolojiya SD-WAN di gelek guhertinan de derbas bûye, hem jêhatî û hem jî hejmarî. Bi vî rengî, fonksiyon bi girîngî berfireh bûye û piştgirî li ser rêwerên klasîk ên rêzê xuya bûye Cisco ISR 1000, ISR 4000, ASR 1000 û CSR Virtual 1000v. Di heman demê de, gelek xerîdar û hevkarên Cisco berdewam dipirsin: Cûdahiya di navbera Cisco SD-WAN û nêzîkatiyên jixwe naskirî yên ku li ser bingeha teknolojiyên wekî Cisco DMVPN и Cisco Performance Routing û ev cudahî çiqas girîng in?

Li vir divê em tavilê veqetandinê bikin ku berî hatina SD-WAN di portfoliyoya Cisco de, DMVPN bi PfR re beşek sereke di mîmariyê de ava kir. Cisco IWAN (WAN aqilmend), ku di encamê de pêşiyê teknolojiya tevahî SD-WAN bû. Tevî wekheviya gelemperî ya hem karên ku têne çareser kirin û hem jî awayên çareserkirina wan, IWAN ti carî asta otomasyon, nermbûn û pîvandina ku ji bo SD-WAN hewce ye wernegirtiye, û bi demê re, pêşkeftina IWAN bi girîngî kêm bûye. Di heman demê de, teknolojiyên ku IWAN pêk tînin, neçûne, û gelek xerîdar berdewam dikin ku wan bi serfirazî bikar bînin, tevî alavên nûjen. Wekî encamek, rewşek balkêş derketiye holê - heman alavên Cisco dihêle hûn li gorî hewcedarî û hêviyên xerîdar teknolojiya WAN-a herî maqûl (klasîk, DMVPN + PfR an SD-WAN) hilbijêrin.

Gotar naxwaze bi hûrgulî hemî taybetmendiyên teknolojiyên Cisco SD-WAN û DMVPN (bi an bêyî Rêvekirina Performansê) analîz bike - ji bo vê yekê gelek belge û materyalên berdest hene. Karê sereke ev e ku meriv hewl bide ku cûdahiyên sereke di navbera van teknolojiyê de binirxîne. Lê berî ku em li ser van cûdahiyan nîqaş bikin, bila em bi kurtî teknolojiyên xwe bi bîr bînin.

Cisco DMVPN çi ye û çima hewce ye?

Cisco DMVPN pirsgirêka girêdana dînamîk (= berbelav) ya tora şaxek dûr a tora nivîsgeha navendî ya pargîdaniyek dema ku celebên kêfî yên kanalên ragihandinê, tevî Înternetê (= bi şîfrekirina kanala ragihandinê) bikar tîne, çareser dike. Ji hêla teknîkî ve, ev bi afirandina torgilokek pêvekirî ya virtual ya çîna L3 VPN-ê di moda xal-bi-pir xalî de bi topolojiya mantiqî ya celebê "Stêr" (Hub-n-Spoke) tê fêm kirin. Ji bo ku bigihîje vê yekê, DMVPN tevliheviyek ji teknolojiyên jêrîn bikar tîne:

  • rêvekirina IP
  • Tunelên GRE yên pir xalî (mGRE)
  • Protokola Çareseriya Hopê ya Pêşîn (NHRP)
  • Profîlên IPSec Crypto

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Feydeyên sereke yên Cisco DMVPN li gorî rêveçûna klasîk a ku kanalên MPLS VPN bikar tînin çi ne?

  • Ji bo afirandina torgilokek navbirî, gengaz e ku hûn her kanalên ragihandinê bikar bînin - her tiştê ku dikare girêdana IP-yê di navbera şaxan de peyda bike guncan e, dema ku seyrûsefer dê were şîfrekirin (ku hewce be) û hevseng (ku gengaz be)
  • Di navbera şaxan de topolojiya bi tevahî ve girêdayî bixweber tê çêkirin. Di vê rewşê de, di navbera şaxên navendî û dûr de tunelên statîk hene, û li ser daxwazê ​​di navbera şaxên dûr de tunelên dînamîkî hene (heke seyrûsefer hebe)
  • Roterên şaxê navendî û dûr heya navnîşanên IP-ê yên navberan xwedî heman veavakirinê ne. Bi karanîna mGRE, ne hewce ye ku meriv bi dehan, bi sedan, an jî bi hezaran tunelan bi ferdî mîheng bike. Wekî encamek, pîvana maqûl bi sêwirana rast.

Cisco Performance Routing çi ye û çima hewce ye?

Dema ku DMVPN-ê li ser torgilokek navbirî tê bikar anîn, pirsek pir girîng bêçareser dimîne - meriv çawa bi dînamîk rewşa her yek ji tunelên DMVPN-ê ji bo pêbendbûna bi hewcedariyên seyrûsefera ji bo rêxistina me krîtîk binirxîne û, dîsa, li ser bingeha nirxandinek weha, bi rengek dînamîkî çêbike. biryarek li ser veguhestinê? Rastî ev e ku DMVPN di vê beşê de ji rêveçûna klasîk hindik cûda dibe - ya çêtirîn ku dikare were kirin ev e ku meriv mekanîzmayên QoS-ê mîheng bike ku dê bihêle ku hûn seyrûseferê di rêça derketinê de pêşîn bikin, lê bi tu awayî nekarin rewşa rewşa li ber çavan bigirin. tevahiya rê di yek carek an din de.

Û heke kanal bi qismî û ne bi tevahî têk bibe, çi bikin - meriv çawa vê yekê kifş û binirxîne? DMVPN bixwe nikare vê yekê bike. Bihesibînin ku kanalên ku şaxên hev girêdidin dikarin di nav operatorên têlefonê yên bi tevahî cûda re derbas bibin, bi karanîna teknolojiyên bi tevahî cihêreng, ev peywir zehf ne-tîm dibe. Û ev e ku teknolojiya Cisco Performance Routing tê rizgarkirinê, ku wê demê berê di çend qonaxên pêşkeftinê re derbas bû.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Erka Cisco Performance Routing (li vir PfR) di pîvandina rewşa rêyên (tunel) trafîkê de li ser bingeha metrîkên sereke yên ji bo sepanên torê girîng e - dereng, guhertina derengiyê (jitter) û windabûna pakêtê (ji sedî). Wekî din, firehiya bandê ya bikar anîn dikare were pîvandin. Van pîvandin bi qasî ku gengaz û rastdar nêzikî dema rastîn dibin, û encama van pîvandin rê dide routerê ku PfR bikar tîne ku bi dînamîk biryaran li ser hewcedariya guheztina rêgezkirina vî an wê celebê seyrûseferê bide.

Bi vî rengî, peywira kombînasyona DMVPN / PfR dikare bi kurtî wiha were vegotin:

  • Destûrê bide xerîdar ku li ser tora WAN kanalên ragihandinê bikar bîne
  • Li ser van kanalan qalîteya herî bilind a serîlêdanên krîtîk piştrast bikin

Cisco SD-WAN çi ye?

Cisco SD-WAN teknolojiyek e ku nêzîkatiya SDN-ê bikar tîne da ku tora WAN a rêxistinê biafirîne û bixebitîne. Ev bi taybetî tê wateya karanîna bi navê kontrolker (hêmanên nermalavê), ku orkestrasyona navendî û veavakirina otomatîkî ya hemî pêkhateyên çareseriyê peyda dike. Berevajî SDN-ya kanonîkî (şêweya Slate Paqij), Cisco SD-WAN çend celeb kontrolkeran bikar tîne, ku her yek ji wan rola xwe bi xwe pêk tîne - ev bi mebest hate kirin da ku pîvanbûn û jeo-berdengiya çêtir peyda bike.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Di doza SD-WAN de, peywira karanîna her cûre kanalan û misogerkirina xebitandina serîlêdanên karsaziyê heman dimîne, lê di heman demê de, hewcedariyên ji bo otomasyon, pîvandin, ewlehî û nermbûna torgilokek wusa berfireh dibe.

Nîqaşa cudahiyan

Ger em nuha dest bi analîzkirina cûdahiyên di navbera van teknolojiyên de bikin, ew ê di yek ji kategoriyên jêrîn de bibin:

  • Cûdahiyên mîmarî - fonksiyonên çawa li ser pêkhateyên cihêreng ên çareseriyê têne belav kirin, têkiliya pêkhateyên weha çawa têne organîze kirin, û ev yek çawa bandorê li ser kapasîteyên û nermbûna teknolojiyê dike?
  • Fonksiyon - teknolojiyek dikare çi bike ku ya din nikare çi bike? Û bi rastî ew qas girîng e?

Cûdahiyên mîmarî çi ne û ew girîng in?

Her yek ji van teknolojiyên xwedan gelek "beşên tevgerê" hene ku ne tenê di rola xwe de, lê di heman demê de di çawaniya têkiliya wan de bi hev re jî cûda dibin. Ev prensîb çiqas baş têne fikirîn û mekanîzmaya giştî ya çareseriyê rasterast mezinbûna wê, tolerasyona xeletiyê û karîgeriya giştî diyar dike.

Ka em bi hûrgulî li aliyên cihêreng ên mîmariyê binêrin:

Dane-balafir - beşek ji çareseriyê ku berpirsiyariya veguhestina seyrûsefera bikarhêner di navbera çavkanî û wergir de ye. DMVPN û SD-WAN bi gelemperî li ser rêweran bixwe li ser bingeha tunelên Multipoint GRE bi heman rengî têne bicîh kirin. Cûdahî ev e ku meriv çawa ji bo van tunelan komek pîvanên pêwîst têne çêkirin:

  • в DMVPN / PfR bi taybetî hiyerarşiyek du-astî ya girêkan bi topolojiya Stêrk an Hub-n-Spoke ye. Veavakirina statîk a Hub û girêdana statîk a Spoke bi Hub re hewce ye, û her weha pêwendiya bi protokola NHRP re hewce ye ku pêwendiya dane-balafirê pêk bîne. Di encamê de, çêkirina guhertinên li Hub bi girîngî dijwartirji bo nimûne, bi guheztina / girêdana kanalên WAN-ê yên nû an guheztina pîvanên yên heyî ve têkildar e.
  • в SD WAN modelek bi tevahî dînamîk e ji bo tespîtkirina parametreyên tunelên sazkirî yên li ser bingeha balafir-kontrol (protokola OMP) û plana orkestrasyonê (têkiliya bi kontrolkerê vBond re ji bo tespîtkirina kontrolker û peywirên derbasbûna NAT). Di vê rewşê de, her topolojiyên serdestkirî dikarin werin bikar anîn, tevî yên hiyerarşîk. Di nav topolojiya tunelê ya sergirtî de, veavakirina maqûl a topolojiya mantiqî di her VPN (VRF) de gengaz e.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Kontrol-balafir - fonksiyonên danûstendinê, fîlterkirin û guheztina rê û agahdariya din di navbera pêkhateyên çareseriyê de.

  • в DMVPN / PfR - tenê di navbera routerên Hub û Spoke de pêk tê. Danûstendina rasterast a agahdariya rêwîtiyê di navbera Spokes de ne gengaz e. Di encamê de, Bêyî Hub-a xebitandinê, balafir-kontrol û balafir-dane nikarin bimeşin, ku hewcedariyên zêde yên hebûna zêde li ser Hub ferz dike ku her gav nayên bicîh anîn.
  • в SD WAN - Balafira kontrolê tu carî rasterast di navbera rêweran de nayê kirin - têkilî li ser bingeha protokola OMP-ê pêk tê û pêdivî ye ku bi cûreyek pispor a veqetandî ya kontrolkerê vSmart ve were meşandin, ku îmkana hevseng, jeo-rezervkirin û kontrolkirina navendî peyda dike. load sînyala. Taybetmendiyek din a protokola OMP berxwedana wê ya girîng a li hember windahiyan û serxwebûna ji leza kanala ragihandinê ya bi kontrolkeran re ye (bê guman di nav sînorên maqûl de). Ya ku bi heman rengî bi serfirazî dihêle hûn kontrolkerên SD-WAN di nav ewrên gelemperî an taybet de bi gihîştina bi Înternetê ve bi cîh bikin.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Polîtîka-balafirê - beşek ji çareseriyê ku berpirsiyariya diyarkirin, belavkirin û sepandina polîtîkayên rêveberiya seyrûseferê li ser torgilokek belavkirî ye.

  • DMVPN - ji hêla polîtîkayên kalîteya karûbarê (QoS) ve bi ferdî li ser her routerê bi navgîniya şablonên CLI an Prime Infrastructure ve hatî mîheng kirin bi bandor ve tête sînor kirin.
  • DMVPN / PfR - Polîtîkayên PfR li ser routerê Master Controller (MC) ya navendî bi navgîniya CLI ve têne çêkirin û dûv re bixweber li şaxên MC-yê têne belav kirin. Di vê rewşê de, heman rêyên veguheztina polîtîkayê wekî ku ji bo balafira daneyê têne bikar anîn. Derfeta veqetandina guheztina polîtîkayan, agahdariya rêvekirinê û daneyên bikarhêner tune ye. Ji bo belavkirina siyasetê hebûna girêdana IP-yê di navbera Hub û Spoke de hewce dike. Di vê rewşê de, fonksiyona MC dikare, ger hewce be, bi routerek DMVPN re were hev kirin. Mimkun e (lê ne hewce ye) ku meriv şablonên Binesaziya Serokwezîr ji bo hilberîna siyaseta navendî bikar bîne. Taybetmendiyek girîng ev e ku siyaset bi heman rengî li seranserê torê li seranserê cîhanê tête damezrandin - Polîtîkayên takekesî yên ji bo beşên takekesî nayên piştgirî kirin.
  • SD WAN - Rêvebiriya seyrûseferê û polîtîkayên kalîteya karûbarê bi navendiya navbeynkariya grafîkî ya Cisco vManage, ku di heman demê de bi Înternetê ve tê gihîştin (heke hewce bike) navendî têne destnîşankirin. Ew bi riya kanalên nîşankirinê rasterast an nerasterast bi navgîniya kontrolkerên vSmart ve têne belav kirin (li gorî celebê siyasetê ve girêdayî ye). Ew bi girêdana dane-balafirê ya di navbera routeran de ne girêdayî ne, ji ber ku hemî rêyên trafîkê yên heyî yên di navbera kontrolker û routerê de bikar bînin.

    Ji bo beşên cûda yên torê, mimkun e ku bi nermî polîtîkayên cûda bêne formulekirin - qada siyasetê ji hêla gelek nasnameyên yekta yên ku di çareseriyê de têne peyda kirin - jimara şaxê, celebê serîlêdanê, rêwerziya trafîkê, hwd.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Orkestrasyon-balafir - mekanîzmayên ku destûrê didin pêkhateyan ku bi dînamîk hevûdu tesbît bikin, danûstendinên paşîn mîheng bikin û hevrêz bikin.

  • в DMVPN / PfR Vedîtina hevbeş a di navbera routeran de li ser bingeha veavakirina statîk a cîhazên Hub û veavakirina têkildar a cîhazên Spoke-yê ye. Vedîtina dînamîk tenê ji bo Spoke pêk tê, ku pîvanên pêwendiya Hub-ê ji cîhazê re rapor dike, ku di encamê de bi Spoke-ê re pêş-vesazkirî ye. Bê girêdana IP-yê di navbera Spoke û bi kêmî ve yek Hub de, ne gengaz e ku meriv balafirek daneyê an balafirek kontrolê ava bike.
  • в SD WAN orkestrasyona hêmanên çareseriyê bi karanîna kontrolkera vBond pêk tê, ku pê re her pêkhatek (rûter û kontrolkerên vManage/vSmart) divê pêşî pêwendiya IP-yê saz bike.

    Di destpêkê de, pêkhate li ser pîvanên girêdana hev nizanin - ji bo vê yekê ew hewceyê orkestratorê navbeynkar vBond in. Prensîba giştî wiha ye - her pêkhateyek di qonaxa destpêkê de (xweserî an statîkî) tenê li ser pîvanên pêwendiya bi vBond re fêr dibe, dûv re vBond routerê li ser kontrolkerên vManage û vSmart (berê vedîtin) agahdar dike, ku ev gengaz dike ku bixweber were saz kirin. hemû girêdanên sînyala pêwîst.

    Pêngava paşîn ev e ku routerê nû bi riya pêwendiya OMP ya bi kontrolkerê vSmart re li ser rêwerên din ên li ser torê fêr bibe. Bi vî rengî, router, bêyî ku di destpêkê de tiştek di derheqê pîvanên torê de zanibe, dikare bi tevahî bixweber bi kontrolkeran ve kifş bike û têkildar bike û dûv re jî bixweber pêwendiyê bi rêwerên din re kifş bike û çêbike. Di vê rewşê de, pîvanên pêwendiya hemî pêkhatan di destpêkê de nenas in û dibe ku di dema xebatê de biguhezin.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Management-balafirê - beşek ji çareseriyê ku rêvebirin û çavdêriya navendî peyda dike.

  • DMVPN / PfR - Çareseriya rêveberiya-balafirê ya pispor nayê peyda kirin. Ji bo otomasyon û çavdêriya bingehîn, hilberên wekî Cisco Prime Infrastructure dikarin werin bikar anîn. Her router xwedan şiyana ku bi xeta fermana CLI ve were kontrol kirin heye. Yekbûnek bi pergalên derveyî re bi API-ê nayê peyda kirin.
  • SD WAN - Hemî danûstendin û çavdêrîkirina birêkûpêk bi navendê ve bi navgîniya grafîkî ya kontrolkerê vManage ve tête kirin. Hemî taybetmendiyên çareseriyê, bêyî îstîsna, ji bo veavakirinê bi navgîniya vManage, û hem jî bi navgîniya pirtûkxaneya REST API-ya bi tevahî belgekirî ve têne peyda kirin.

    Hemî mîhengên torê SD-WAN di vManage de digihîje du avahiyên sereke - damezrandina şablonên cîhazê (Şablona cîhazê) û damezrandina siyasetek ku mantiqa xebata torê û pêvajoya seyrûseferê diyar dike. Di heman demê de, vManage, weşana polîtîkaya ku ji hêla rêveber ve hatî hilberandin, bixweber hildibijêre ka kîjan guhertin û li ser kîjan cîhazên/kontrolkerên kesane hewce ne ku bêne çêkirin, ku ev yek bikêrhatî û mezinbûna çareseriyê zêde dike.

    Bi navgîniya vManage, ne tenê veavakirina çareseriya Cisco SD-WAN heye, lê di heman demê de çavdêriya tam a rewşa hemî pêkhateyên çareseriyê, heya rewşa heyî ya metrîkên ji bo tunelên takekesî û statîstîkên li ser karanîna serîlêdanên cihêreng heye. li ser bingeha analîza DPI.

    Tevî navendîbûna danûstendinê, hemî pêkhate (kontrolker û rêwer) di heman demê de xwedan rêzek fermana CLI ya bi tevahî fonksiyonel in, ku di qonaxa bicîhkirinê de an di rewşek acîl de ji bo tespîtkirina herêmî hewce ye. Di moda normal de (heke kanalek îşaretkirinê di navbera pêkhateyan de hebe) li ser routeran, rêzika fermanê tenê ji bo tespîtkirinê heye û ji bo çêkirina guhertinên herêmî ne berdest e, ku ewlehiya herêmî garantî dike û çavkaniya yekane ya guheztinê di torgilokek wusa de vManage e.

Ewlekariya Yekgirtî - Li vir divê em ne tenê li ser parastina daneyên bikarhêner dema ku li ser kanalên vekirî têne veguheztin, lê di heman demê de li ser ewlehiya giştî ya tora WAN-ê ya li ser bingeha teknolojiya hilbijartî jî biaxivin.

  • в DMVPN / PfR Mimkûn e ku daneyên bikarhêner û protokolên nîşankirinê şîfre bikin. Dema ku hin modelên routerê bikar tînin, fonksiyonên dîwarê agir bi vekolîna trafîkê re, IPS / IDS jî hene. Mimkun e ku torên şax bi karanîna VRF veqetînin. Mimkûn e ku protokolên kontrolê (yek-faktorî) rast bikin.

    Di vê rewşê de, routerê dûr ji hêla xwerû ve hêmanek pêbawer a torê tê hesibandin - ango. rewşên lihevhatina laşî yên cîhazên takekesî û îhtîmala gihîştina bê destûr ji wan re nayên hesibandin an jî li ber çavan nayê girtin; erêkirina du-faktorî ya pêkhateyên çareseriyê tune, ku di bûyera torgilokek erdnîgarî belavbûyî de. dibe ku rîskên din ên girîng hilgire.

  • в SD WAN bi analogî bi DMVPN re, şiyana şîfrekirina daneyên bikarhêner tê peyda kirin, lê digel ewlehiya torê ya berbiçav û fonksiyonên dabeşkirina L3/VRF (firewall, IPS / IDS, Parzûnkirina URL, Parzûna DNS, AMP/TG, SASE, TLS/SSL proxy, hwd.) d.). Di heman demê de, danûstendina bişkojkên şîfrekirinê bi navgîniya kontrolkerên vSmart (ne rasterast), bi navgîniya kanalên îşaretê yên pêş-sazkirî yên ku ji hêla şîfrekirina DTLS / TLS ve li ser bingeha sertîfîkayên ewlehiyê têne parastin, bi bandortir tête kirin. Ya ku di encamê de ewlehiya danûstendinên bi vî rengî garantî dike û bi deh hezaran cîhazên li ser heman torê ve scalability çêtir a çareseriyê misoger dike.

    Hemî girêdanên nîşankirinê (kontrolker-bi-kontrolker, kontrolker-rûter) jî li ser bingeha DTLS / TLS têne parastin. Router bi sertîfîkayên ewlehiyê di dema hilberînê de bi îhtîmala veguheztinê / dirêjkirinê têne stendine. Nasnameya du-faktorî bi pêkanîna mecbûrî û hevdem a du şertan ji bo ku router/kontrolker di tora SD-WAN de bixebite pêk tê:

    • Belgeya ewlehiyê ya derbasdar
    • Tevnebûna eşkere û hişmend ji hêla rêveberê her pêkhateyê ve di navnîşa "spî" ya cîhazên destûr de.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Cûdahiyên fonksiyonel ên di navbera SD-WAN û DMVPN / PfR de

Li ser nîqaşkirina cûdahiyên fonksiyonel, divê were zanîn ku gelek ji wan berdewamiya yên mîmarî ne - ne veşartî ye ku dema avakirina mîmariya çareseriyê, pêşdebiran ji kapasîteyên ku ew dixwazin di dawiyê de bi dest bixin dest pê dikin. Ka em li cûdahiyên herî girîng ên di navbera her du teknolojiyên de binêrin.

AppQ (Qalîteya Serlêdanê) - fonksiyonên ku kalîteya veguhestina seyrûsefera serîlêdana karsaziyê misoger dike

Fonksiyonên sereke yên teknolojiyên li ber çavan têne armanc kirin ku dema ku di torgilokek belavbûyî de serîlêdanên krîtîk ên karsaziyê bikar tînin bi qasî ku gengaz dibe ezmûna bikarhêner baştir bikin. Ev bi taybetî di şert û mercên ku beşek ji binesaziyê ji hêla IT-ê ve nayê kontrol kirin an jî veguheztina daneya serfiraz garantî nake girîng e.

DMVPN bixwe mekanîzmayên weha peyda nake. Ya çêtirîn ku di torgilokek DMVPN-ya klasîk de dikare were kirin ev e ku meriv seyrûsefera derketinê ji hêla serîlêdanê ve dabeş bike û gava ku berbi kanala WAN ve tê veguheztin pêşî lê bigire. Hilbijartina tunelek DMVPN di vê rewşê de tenê ji hêla hebûna wê û encama xebata protokolên rêvekirinê ve tê destnîşankirin. Di heman demê de, rewşa dawî-bi-dawî ya rê/tunelê û hilweşîna wê ya qismî ya muhtemel di warê metrîkên sereke yên ku ji bo sepanên torê girîng in - dereng, guheztina derengmayînê (jitter) û windahiyan (% ). Di vî warî de, rasterast berhevkirina DMVPN-ya klasîk bi SD-WAN-ê re di warê çareserkirina pirsgirêkên AppQ de hemî wateyê winda dike - DMVPN nikare vê pirsgirêkê çareser bike. Dema ku hûn teknolojiya Cisco Performance Routing (PfR) di vê çarçoveyê de zêde bikin, rewş diguhere û berhevdana bi Cisco SD-WAN re watedartir dibe.

Berî ku em cûdahiyan nîqaş bikin, li vir nihêrînek bilez heye ka teknolojiyên çawa dişibin hev. Ji ber vê yekê, her du teknolojî:

  • mekanîzmayek heye ku destûrê dide we ku hûn bi dînamîk rewşa her tunelek hatî damezrandin di warê hin metrîkan de binirxînin - bi kêmanî, dereng, guhertina derengmayîn û windakirina pakêtê (%)
  • komek amûrek taybetî bikar bînin da ku rêgezên rêveberiya trafîkê (polîtîkayan) ava bikin, belav bikin û bicîh bînin, encamên pîvandina rewşa metrîkên tunelê yên sereke li ber çavan bigirin.
  • seyrûsefera serîlêdanê li astên L3-L4 (DSCP) yên modela OSI an ji hêla îmzeyên serîlêdana L7 ve li ser bingeha mekanîzmayên DPI-yê yên ku di routerê de hatine çêkirin dabeş bikin.
  • Ji bo serîlêdanên girîng, ew dihêlin ku hûn nirxên metrîkan, qaîdeyên ji bo veguheztina seyrûseferê, û rêgezên ji nû ve rêvekirina seyrûseferê dema ku nirxên boriyê derbas dibin destnîşan bikin.
  • Dema ku seyrûsefera li GRE/IPSec vedihewîne, ew mekanîzmaya pîşesaziyê ya jixwe sazkirî bikar tînin ji bo veguheztina nîşaneyên DSCP-ya hundurîn li sernavê pakêtê ya GRE/IPSEC ya derveyî, ku destûrê dide hevdengkirina polîtîkayên QoS yên rêxistinê û operatorê telekomê (heke SLA-ya guncan hebe) .

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Metrîkên SD-WAN û DMVPN/PfR dawiya-bi-dawî çawa cûda dibin?

DMVPN / PfR

  • Hem senzorên nermalava çalak û hem jî pasîf (Probes) ji bo nirxandina pîvanên tenduristiya tunelê yên standard têne bikar anîn. Yên çalak li ser bingeha seyrûsefera bikarhêner in, yên pasîf seyrûsefera weha (di nebûna wê de) mîna hev dikin.
  • Rêzkirina demjimêr û şertên tespîtkirina hilweşandinê tune - algorîtma rast e.
  • Digel vê yekê, pîvandina band-bandê ya hatî bikar anîn di rêça derketinê de heye. Ku nermbûna rêveberiya trafîkê ya din li DMVPN / PfR zêde dike.
  • Di heman demê de, hin mekanîzmayên PfR, dema ku metrîk têne derbas kirin, xwe dispêrin nîşana vegerê di forma peyamên taybetî yên TCA (Threshold Crossing Alert) ku divê ji wergirê trafîkê ber bi çavkaniyê ve werin, ku di encamê de tê texmîn kirin ku rewşa kanalên pîvandî divê herî kêm ji bo veguheztina peyamên TCA yên weha bes bin. Ya ku di pir rewşan de ne pirsgirêk e, lê diyar e ku nayê garantî kirin.

SD WAN

  • Ji bo nirxandina dawî-bi-dawî ya metrîkên dewleta tunelê ya standard, protokola BFD di moda echo de tê bikar anîn. Di vê rewşê de, bertekek taybetî ya di forma TCA an peyamên mîna wan de ne hewce ye - veqetandina domên têkçûnê tê domandin. Ji bo nirxandina rewşa tunelê jî hebûna seyrûsefera bikarhêner hewce nake.
  • Mimkun e ku meriv demjimêrên BFD-ê baş biguhezîne da ku leza bersivê û hesasiyeta algorîtmayê ji hilweşandina kanala ragihandinê ji çend saniyeyan heya hûrdeman birêkûpêk bike.

    Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

  • Di dema nivîsandinê de, di her tunelê de tenê rûniştek BFD heye. Ev potansiyel di analîza rewşa tunelê de kêm granulariyê diafirîne. Di rastiyê de, ev tenê dikare bibe sînorek heke hûn pêwendiyek WAN-ê li ser bingeha MPLS L2/L3 VPN bi QoS SLA-ya pejirandî bikar bînin - heke nîşana DSCP ya seyrûsefera BFD (piştî vegirtina li IPSec / GRE) bi rêza pêşîn a bilind re li hev bike. tora operatorê telekomê, wê hingê ev dibe ku bandorê li rastbûn û leza tespîtkirina hilweşandinê ji bo seyrûsefera kêm-pêşî bike. Di heman demê de, gengaz e ku meriv nîşana xwerû ya BFD biguhezîne da ku xetera rewşên weha kêm bike. Di guhertoyên paşerojê yên nermalava Cisco SD-WAN de, mîhengên BFD-ê yên birêkûpêktir têne hêvî kirin, û her weha şiyana destpêkirina gelek danişînên BFD di heman tunelê de bi nirxên DSCP yên kesane (ji bo serîlêdanên cûda).
  • BFD di heman demê de dihêle hûn mezinahiya pakêtê ya herî zêde ya ku dikare di nav tunelekek taybetî de bêyî perçebûnê were veguheztin texmîn bikin. Ev dihêle ku SD-WAN bi dînamîk parametreyên wekî MTU û TCP MSS Adjust eyar bike da ku li ser her zencîreyê herî zêde bandpêdeya berdest bikar bîne.
  • Di SD-WAN de, vebijarka hevdengkirina QoS ji operatorên telekomê jî heye, ne tenê li ser bingeha qadên L3 DSCP, lê di heman demê de li ser bingeha nirxên L2 CoS jî, ku dikare bixweber di tora şaxê de ji hêla amûrên pispor ve were çêkirin - mînakî, IP. telefonên

Kapasîteyên, rêbazên danasîn û sepandina polîtîkayên AppQ-ê çawa cûda dibin?

Polîtîkayên DMVPN/PfR:

  • Bi riya rêzika fermanê ya CLI an şablonên veavakirina CLI-ê li ser routerê (yên) şaxê navendî ve hatî destnîşankirin. Çêkirina şablonên CLI hewceyê amadekirin û zanîna hevoksaziya siyasetê dike.

    Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

  • Di gerdûnî de hate diyarkirin bêyî îmkana veavakirina kesane/guheztina hewcedariyên beşên torê yên takekesî.
  • Hilberîna siyaseta înteraktîf di navgîniya grafîkî de nayê peyda kirin.
  • Şopandina guhartinan, mîrasbûnê, û çêkirina gelek guhertoyên polîtîkayan ji bo guheztina bilez nayê peyda kirin.
  • Jixweber li routerên şaxên dûr têne belav kirin. Di vê rewşê de, heman kanalên ragihandinê yên ku ji bo veguhestina daneyên bikarhêner têne bikar anîn. Ger di navbera şaxa navendî û dûr de kanalek ragihandinê tune be, belavkirin/guhertina polîtîkayan ne mimkûn e.
  • Ew li ser her routerê têne bikar anîn û, ger hewce be, encama protokolên rêveçûna standard biguhezînin, ku xwedan pêşanînek bilindtir e.
  • Ji bo rewşên ku hemî girêdanên şaxên WAN-ê windabûna seyrûsefera girîng dibînin, mekanîzmayên tezmînatê nayên dayîn.

Polîtîkayên SD-WAN:

  • Di nav vManage GUI de bi riya sêrbazê şablonê înteraktîf ve hatî destnîşankirin.
  • Piştgiriya afirandina gelek polîtîkayan, kopîkirin, mîrasgirtin, guheztina di navbera polîtîkayan de di demek rast de.
  • Ji bo beşên cûda yên torê (şax) mîhengên polîtîkaya kesane piştgirî dike
  • Ew bi karanîna her kanalek nîşana berdest di navbera kontrolker û router û/an vSmart de têne belav kirin - rasterast bi pêwendiya balafir-danûstandinê ya di navbera rêweran de ve girêdayî ne. Ev, bê guman, pêwendiya IP-ê di navbera routerê bixwe û kontrolkeran de hewce dike.

    Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

  • Ji bo rewşên ku hemî şaxên berdest ên şaxek windahiyên daneya girîng ên ku ji tixûbên pejirandî yên ji bo serîlêdanên krîtîk derbas dibin, gengaz e ku meriv mekanîzmayên din ên ku pêbaweriya veguheztinê zêde dike bikar bînin:
    • FEC (Rastkirina Çewtiya Pêşî) - algorîtmayek kodkirina zêde ya taybetî bikar tîne. Dema ku seyrûsefera krîtîk li ser kanalên bi rêjeyek girîng a windahiyan veguhezîne, FEC dikare bixweber were çalak kirin û, ger hewce be, destûrê dide ku beşa winda ya daneyê sererast bike. Ev hinekî firehiya veguheztinê ya hatî bikar anîn zêde dike, lê bi girîngî pêbaweriyê baştir dike.

      Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

    • Dubarkirina herikên daneyan - Digel FEC-ê, sîyaset dikare dubarekirina otomatîkî ya seyrûsefera serîlêdanên hilbijartî peyda bike di bûyera windahiyek hîn girantir de ku ji hêla FEC-ê ve nayê telafî kirin. Di vê rewşê de, daneya hilbijartî dê di nav hemî tunelan de berbi şaxê wergirtinê ve were veguheztin û dûbarekirina dûbare (avêtina kopiyên zêde yên pakêtan). Mekanîzma karanîna kanalê bi girîngî zêde dike, lê di heman demê de pêbaweriya veguhestinê jî bi girîngî zêde dike.

Kapasîteyên Cisco SD-WAN, bêyî analogên rasterast di DMVPN / PfR de

Mîmariya çareseriya Cisco SD-WAN di hin rewşan de dihêle hûn kapasîteyên ku di hundurê DMVPN / PfR de têne bicîh kirin an pir dijwar e, an jî ji ber lêçûnên kedê yên hewce ne pratîk in, an jî bi tevahî ne mumkin in bistînin. Ka em li yên herî balkêş ji wan binêrin:

Trafîk-Endezyariya (TE)

TE mekanîzmayên ku dihêle seyrûsefera rêça standard a ku ji hêla protokolên rêvekirinê ve hatî çêkirin veqetîne vedihewîne. TE bi gelemperî ji bo misogerkirina hebûna zêde ya karûbarên torê, bi kapasîteya ku bi lez û / an bi proaktîf veguheztina seyrûsefera krîtîk li rêgezek veguheztinê ya alternatîf (jihevdeng) tê bikar anîn, da ku di bûyera têkçûnê de kalîteya karûbarê çêtir an leza başbûnê were misoger kirin. li ser riya sereke.

Zehmetiya pêkanîna TE di hewcedariya hesabkirin û veqetandin (kontrolkirina) rêyek alternatîf de ye. Di torên MPLS yên operatorên telekomê de, ev pirsgirêk bi karanîna teknolojiyên wekî MPLS Traffic-Engineering bi dirêjkirina protokolên IGP û protokola RSVP têne çareser kirin. Her weha di van demên dawî de, teknolojiya Segment Routing, ku ji bo veavakirin û orkestrasyona navendîkirî xweştir e, her ku diçe populer bûye. Di torên klasîk ên WAN-ê de, ev teknolojiyên bi gelemperî nayên temsîl kirin an jî bi karanîna mekanîzmayên hop-bi-hop ên mîna Rêvekirina Bingeha Polîtîkayê (PBR) têne kêm kirin, ku dikarin seyrûsefera şax bikin, lê vê yekê li ser her routerê ji hev cuda bicîh dikin - bêyî ku bigirin. li ser rewşa giştî ya torê an PBR di gavên berê an paşerojê de encam bidin. Encama karanîna van vebijarkên TE dilşikestî ye - MPLS TE, ji ber tevliheviya veavakirin û xebitandinê, bi gelemperî, tenê di beşa herî krîtîk a torê de (bingeh) tê bikar anîn, û PBR li ser rêgezên kesane bêyî bikar anîn. şiyana afirandina siyasetek PBR ya yekbûyî ji bo tevaya torê. Eşkere ye, ev ji bo torên DMVPN-based jî derbas dibe.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

SD-WAN di vî warî de çareseriyek pir xweşiktir pêşkêşî dike ku ne tenê mîhengkirin hêsan e, lê di heman demê de pir çêtir jî pîvan dike. Ev encamek mîmariya kontrol-balafir û polîtîk-balafira ku têne bikar anîn e. Di SD-WAN de pêkanîna planek polîtîkayê dihêle hûn polîtîkaya TE-ya navendî diyar bikin - seyrûsefera kîjan eleqedar e? ji bo kîjan VPN? Ji kîjan girêk/tunelan re pêdivî ye an berovajî vê yekê qedexe ye ku rêyek alternatîf were çêkirin? Di encamê de, navendîkirina rêveberiya balafir-kontrolê ya li ser bingeha kontrolkerên vSmart dihêle hûn bêyî ku serî li mîhengên cîhazên takekesî bidin, encamên rêvekirinê biguhezînin - router jixwe tenê encama mantiqa ku di navbeynkariya vManage de hatî çêkirin û ji bo karanîna veguhestiye dibîne. vSmart.

Xizmeta-zincîra

Damezrandina zincîreyên karûbarê di rêveçûna klasîk de ji mekanîzmaya Trafîkê-Endezyariya ku ji berê ve hatî destnîşan kirin karek zexmtir e. Bi rastî, di vê rewşê de, ne tenê pêdivî ye ku meriv rêyek taybetî ji bo serîlêdanek torê ya taybetî biafirîne, lê di heman demê de pêdivî ye ku kapasîteya rakirina seyrûseferê ji torê li ser hin (an hemî) girêkên tora SD-WAN-ê ji bo pêvajoykirinê jî misoger bike. serîlêdanek an karûbarek taybetî (Firewall, Balanskirin, Caching, Trafîka Teftîşê, hwd.). Di heman demê de, pêdivî ye ku meriv bikaribe rewşa van karûbarên derveyî kontrol bike da ku pêşî li rewşên kolandina reş bigire, û mekanîzmayên ku destûrê didin karûbarên derveyî yên heman celebî li cîhên erdnîgarî yên cûda werin danîn jî hewce ne. bi şiyana torê ve ku bixweber girêka karûbarê herî çêtirîn ji bo hilanîna seyrûsefera şaxek taybetî hilbijêrin. Di doza Cisco SD-WAN de, ev yek pir hêsan e ku bi afirandina siyasetek navendîkirî ya guncav ku hemî aliyên zincîra karûbarê armancê di yek yekane de "zeliqîne" û bixweber mantiqa plana daneyan û balafira kontrolê tenê li ku derê diguhezîne. û dema ku pêwîst be.

Dê Cisco SD-WAN şaxê ku DMVPN li ser rûniştiye qut bike?

Qabiliyeta afirandina pêvajoyek geo-belavkirî ya seyrûsefera celebên bijartî yên sepanan bi rêzek diyarkirî li ser alavên pispor (lê ne bi tora SD-WAN bixwe ve girêdayî ye) dibe ku xwenîşandana herî zelal a feydeyên Cisco SD-WAN li ser klasîk e. teknolojiyên û tewra hin çareseriyên alternatîf SD -WAN ji hilberînerên din.

Di dawiyê de çi ye?

Eşkere ye, hem DMVPN (bi an bêyî Rêvekirina Performansê) hem jî Cisco SD-WAN dawî li çareserkirina pirsgirêkên pir dişibin hev Têkildarî tora WAN ya belavbûyî ya rêxistinê. Di heman demê de, cûdahiyên girîng ên mîmarî û fonksiyonel ên di teknolojiya Cisco SD-WAN de dibe sedema pêvajoya çareserkirina van pirsgirêkan. berbi astek din a kalîteyê. Bi kurtasî, em dikarin cûdahiyên girîng ên jêrîn di navbera teknolojiyên SD-WAN û DMVPN / PfR de destnîşan bikin:

  • DMVPN/PfR bi gelemperî teknolojiyên ceribandin-dem-ceribandinî ji bo avakirina torên VPN yên sergirtî bikar tîne û, di warê plana daneyê de, dişibihe teknolojiya SD-WAN-a nûjentir, lêbelê, di forma veavakirina statîk a mecbûrî de hejmarek sînor hene. router û bijartina topolojiyê bi Hub-n-Spoke ve sînorkirî ye. Ji hêla din ve, DMVPN / PfR hin fonksiyonek heye ku hîna di nav SD-WAN de peyda nabe (em li ser BFD-a serîlêdanê dipeyivin).
  • Di nav balafira kontrolê de, teknolojiyên bingehîn ji hev cûda dibin. SD-WAN bi girtina navgîniya pêvajoyek navendî ya protokolên îşaretkirinê, bi taybetî destûrê dide ku qadên têkçûnê bi girîngî teng bike û pêvajoya veguhestina seyrûsefera bikarhêner ji danûstendina îşaretkirinê "ji hev veqetîne" - tunebûna demkî ya kontrolkeran bandorê li şiyana veguheztina seyrûsefera bikarhêner nake. . Di heman demê de, nebûna demkî ya ti şaxek (ya navendî jî tê de) bi ti awayî bandorê li şiyana şaxên din nake ku bi hev û din û kontrolkeran re têkilî daynin.
  • Mîmariya ji bo avakirin û sepandina polîtîkayên rêveberiya trafîkê di doza SD-WAN de jî ji ya di DMVPN/PfR-ê de çêtir e - jeo-rezervkirin pir çêtir tête bicîh kirin, girêdana bi Hub re tune ye, ji bo başbûnê bêtir fersend hene. -polîtîkayên birêkûpêkkirinê, navnîşa senaryoyên rêveberiya trafîkê yên hatine bicîh kirin jî pir mezintir e.
  • Pêvajoya orkestrasyona çareseriyê jî pir cûda ye. DMVPN hebûna parametreyên berê yên naskirî yên ku divê bi rengekî di veavakirinê de bêne xuyang kirin destnîşan dike, ku hinekî nermbûna çareseriyê û îhtîmala guhertinên dînamîkî sînordar dike. Di encamê de, SD-WAN li ser bingeha paradîgmayê ye ku di gava destpêkê ya pêwendiyê de, router "tiştek nizane" di derbarê kontrolkerên xwe de, lê dizane "hûn dikarin ji kê bipirsin" - ev ne tenê bes e ku bixweber pêwendiyê bi xwe re saz bike. kontrolkeran, lê di heman demê de ji bo ku bixweber topolojiya dane-balafirê ya bi tevahî ve girêdayî ava bikin, ku wê hingê bi karanîna polîtîkayan bi nermî were mîheng kirin/guheztin.
  • Di warê rêveberiya navendî, otomasyon û çavdêriyê de, SD-WAN tê çaverêkirin ku ji kapasîteyên DMVPN / PfR, yên ku ji teknolojiyên klasîk derketine û bi giranî xwe dispêre xeta fermanê ya CLI û karanîna pergalên NMS-ya şablonê, derbas bike.
  • Di SD-WAN de, li gorî DMVPN, hewcedariyên ewlehiyê gihîştine astek kalîteyê ya cihê. Prensîbên bingehîn pêbaweriya sifir, pîvanbûn û pejirandina du-faktorî ne.

Van encamên sade dibe ku nerînek xelet bidin ku afirandina torgilokek li ser bingeha DMVPN / PfR îro hemî têkildariya xwe winda kiriye. Ev helbet bi tevahî ne rast e. Mînakî, di rewşên ku torê gelek alavên kevnar bikar tîne û rêyek tune ku wê biguhezîne, DMVPN dikare bihêle ku hûn cîhazên "kevn" û "nû" bi gelek avantajên ku hatine diyar kirin di nav torek yek-geo-belavkirî de tevlihev bikin. ser.

Ji hêla din ve, divê were ji bîr kirin ku hemî rêgezên pargîdanî yên Cisco yên li ser bingeha IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) îro piştgirî didin her moda xebitandinê - hem rêwîtiya klasîk û hem jî DMVPN û SD-WAN - Hilbijartin ji hêla hewcedariyên heyî ve û têgihîştina ku di her kêliyê de, bi karanîna heman alavên, hûn dikarin dest pê bikin ku berbi teknolojiya pêşkeftî ve biçin, tê destnîşankirin.

Source: www.habr.com

Add a comment