ProHoster > Blog > башкаруу > Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

2017-жылдын августунан тартып, Cisco Viptela сатып алгандан бери бөлүштүрүлгөн ишканалардын тармактарын уюштуруу үчүн сунушталган негизги технология болуп калды. Cisco SD-WAN. Акыркы 3 жылдын ичинде SD-WAN технологиясы сапаттык жана сандык жактан көптөгөн өзгөрүүлөрдү башынан өткөрдү. Ошентип, функционалдуулук кыйла кеңейди жана сериянын классикалык роутерлеринде колдоо пайда болду Cisco ISR 1000, ISR 4000, ASR 1000 жана Virtual CSR 1000v. Ошол эле учурда, көптөгөн Cisco кардарлары жана өнөктөштөрү кызыкдар: сыяктуу технологияларга негизделген Cisco SD-WAN менен буга чейин тааныш болгон ыкмалардын ортосунда кандай айырмачылыктар бар Cisco DMVPN и Cisco Performance Routing жана бул айырмачылыктар канчалык маанилүү?

Бул жерде биз дароо эскертип коюшубуз керек, Cisco портфелинде SD-WAN пайда болгонго чейин, DMVPN PfR менен бирге архитектуранын негизги бөлүгүн түзгөн. Cisco IWAN (акылдуу WAN), бул өз кезегинде толук кандуу SD-WAN технологиясынын представити болгон. Чечилип жаткан милдеттердин да, аларды чечүү ыкмаларынын да жалпы окшоштугуна карабастан, IWAN SD-WAN үчүн зарыл болгон автоматташтыруу, ийкемдүүлүк жана масштабдуулук деңгээлин эч качан алган эмес жана убакыттын өтүшү менен IWANдын өнүгүүсү кыйла төмөндөгөн. Ошол эле учурда IWANды түзгөн технологиялар жок болгон жок жана көптөгөн кардарлар аларды ийгиликтүү колдонууну улантууда, анын ичинде заманбап жабдууларда. Натыйжада, кызыктуу жагдай пайда болду – ошол эле Cisco жабдуулары кардарлардын талаптарына жана күтүүлөрүнө ылайык эң ылайыктуу WAN технологиясын (классикалык, DMVPN+PfR же SD-WAN) тандоого мүмкүндүк берет.

Макала Cisco SD-WAN жана DMVPN технологияларынын бардык өзгөчөлүктөрүн деталдуу талдап чыгууну көздөбөйт (Performance Routing менен же жок) - бул үчүн жеткиликтүү документтердин жана материалдардын чоң көлөмү бар. негизги милдети бул технологиялар ортосундагы негизги айырмачылыктарды баалоого аракет кылуу болуп саналат. Бирок бул айырмачылыктарды талкуулоого өтүүдөн мурун, келгиле, технологиялардын өзүн кыскача эстеп көрөлү.

Cisco DMVPN деген эмне жана ал эмне үчүн керек?

Cisco DMVPN байланыш каналдарынын ыктыярдуу түрлөрүн, анын ичинде Интернетти (= байланыш каналын шифрлөө менен) пайдаланууда алыскы филиалдык тармакты ишкананын борбордук кеңсесинин тармагына динамикалык (= масштабдуу) туташтыруу маселесин чечет. Техникалык жактан, бул "Жылдыз" тибиндеги (Hub-n-Spoke) логикалык топологиясы менен чекиттен көп чекитке режимде L3 VPN классынын виртуалдаштырылган кабаттуу тармагын түзүү аркылуу ишке ашат. Буга жетүү үчүн DMVPN төмөнкү технологиялардын айкалышын колдонот:

  • IP багыттоо
  • Көп чекиттүү GRE туннелдери (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto профилдери

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

MPLS VPN каналдарын колдонгон классикалык маршрутизацияга салыштырмалуу Cisco DMVPN негизги артыкчылыктары кандай?

  • Тармактар ​​аралык тармакты түзүү үчүн ар кандай байланыш каналдарын колдонсо болот - филиалдардын ортосунда IP байланышын камсыз кыла турган бардык нерсе ылайыктуу, мында трафик шифрленген (зарыл болгон учурда) жана тең салмактуу (мүмкүн болгон учурда) болот.
  • Тармактардын ортосундагы толук байланышкан топология автоматтык түрдө түзүлөт. Ошол эле учурда борбордук жана алыскы филиалдардын ортосунда статикалык туннелдер, ал эми алыскы бутактардын ортосунда суроо-талап боюнча динамикалык туннельдер (трафик бар болсо) бар.
  • Борбордук жана алыскы филиалдын роутерлери интерфейстердин IP даректерине чейин бирдей конфигурацияга ээ. mGREди колдонуу менен ондогон, жүздөгөн, атүгүл миңдеген туннелдерди жеке конфигурациялоонун кереги жок. Натыйжада, туура дизайн менен татыктуу масштабдоо.

Cisco Performance Routing деген эмне жана ал эмне үчүн керек?

Тармактар ​​аралык тармакта DMVPNди колдонууда бир өтө маанилүү суроо чечилбеген бойдон калууда - DMVPN туннелдеринин ар биринин абалын биздин уюм үчүн өтө маанилүү болгон трафиктин талаптарына шайкештигин динамикалык түрдө кантип баалоо керек жана кайрадан ушундай баалоонун негизинде динамикалык түрдө багытын өзгөртүү боюнча чечим? Чындыгында, бул бөлүктөгү DMVPN классикалык маршруттоодон анча деле айырмаланбайт - эң жакшы нерсе - бул чыгуучу багытта трафикти артыкчылыктуу кылууга мүмкүндүк берүүчү, бирок эч кандай түрдө абалды эсепке ала албаган QoS механизмдерин конфигурациялоо. бир убакта бүт жол.

Ал эми канал толук эмес, жарым-жартылай начарлап кетсе, эмне кылуу керек - муну кантип аныктоо жана баалоо керек? DMVPN өзү муну кыла албайт. Тармактарды бириктирген каналдар такыр башка байланыш операторлору аркылуу, такыр башка технологияларды колдонуу менен өтө аларын эске алсак, бул милдет өтө маанилүү эмес болуп калат. Бул жерде Cisco Performance Routing технологиясы жардамга келет, ал учурда өнүгүүнүн бир нече этаптарын басып өткөн.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Cisco Performance Routing (мындан ары PfR) милдети тармактык тиркемелер үчүн маанилүү болгон негизги көрсөткүчтөрдүн негизинде трафиктин жолдорунун (туннелдеринин) абалын өлчөө үчүн келип чыгат - кечигүү, күтүү вариациясы (jitter) жана пакет жоготуу (пайыз). Мындан тышкары, колдонулган өткөрүү жөндөмдүүлүгүн өлчөөгө болот. Бул өлчөөлөр мүмкүн болушунча реалдуу убакытка жакын жана негиздүү түрдө ишке ашат жана бул өлчөөлөрдүн натыйжасы PfRди колдонгон роутерге трафиктин тигил же бул түрүнүн багытын өзгөртүү зарылдыгы жөнүндө динамикалык чечим кабыл алууга мүмкүндүк берет.

Ошентип, DMVPN/PfR айкалышынын милдети кыскача төмөнкүчө сүрөттөлсө болот:

  • Кардарга WAN тармагындагы каалаган байланыш каналдарын колдонууга уруксат бериңиз
  • Бул каналдардагы критикалык колдонмолордун эң жогорку сапатын камсыз кылыңыз

Cisco SD-WAN деген эмне?

Cisco SD-WAN – бул уюмдун WAN тармагын түзүү жана иштетүү үчүн SDN ыкмасын колдонгон технология. Бул, атап айтканда, бардык чечимдердин компоненттеринин борборлоштурулган оркестрин жана автоматташтырылган конфигурациясын камсыз кылган контроллерлорду (программалык камсыздоонун элементтерин) колдонууну билдирет. Канондук SDNден (Clean Slate стилинен) айырмаланып, Cisco SD-WAN контроллерлордун бир нече түрүн колдонот, алардын ар бири өз ролун аткарат - бул жакшыраак масштабдалуу жана гео-артыкчылыкты камсыз кылуу максатында атайын жасалган.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

SD-WAN учурда, каналдардын ар кандай түрлөрүн колдонуу жана бизнес-тиркемелердин иштешин камсыз кылуу милдети ошол эле бойдон калууда, бирок ошол эле учурда мындай тармактын автоматташтырылышы, масштабдуулугу, коопсуздугу жана ийкемдүүлүгү боюнча талаптар кеңейет.

Айырмачылыктарды талкуулоо

Эгерде биз азыр бул технологиялардын ортосундагы айырмачылыктарды талдай баштасак, алар төмөнкү категориялардын бирине кирет:

  • Архитектуралык айырмачылыктар - чечимдердин ар кандай компоненттери боюнча функциялар кантип бөлүштүрүлөт, мындай компоненттердин өз ара аракеттенүүсү кантип уюштурулган жана бул технологиянын мүмкүнчүлүктөрүнө жана ийкемдүүлүгүнө кандай таасир этет?
  • Функционалдык – бир технология эмне кыла алат, экинчиси кыла албайт? Жана бул чындап эле маанилүүбү?

Архитектуралык айырмачылыктар кандай жана алар маанилүүбү?

Бул технологиялардын ар бири өз ролдору менен гана эмес, бири-бири менен өз ара аракеттенүүсү боюнча да айырмаланган көптөгөн “кыймылдуу бөлүктөргө” ээ. Бул принциптер канчалык жакшы ойлонулган жана чечимдин жалпы механикасы анын масштабдуулугун, катага чыдамдуулугун жана жалпы натыйжалуулугун түздөн-түз аныктайт.

Архитектуранын ар кандай аспектилерин кененирээк карап көрөлү:

Маалымат учагы – булак менен алуучунун ортосунда колдонуучу трафигин өткөрүү үчүн жооптуу чечимдин бөлүгү. DMVPN жана SD-WAN көбүнчө роутерлердин өзүндө Multipoint GRE туннелдеринин негизинде ишке ашырылат. Айырмачылык бул туннелдер үчүн керектүү параметрлердин топтому кантип түзүлөт:

  • в DMVPN/PfR Жылдыз же Hub-n-Spoke топологиясы бар түйүндөрдүн эки деңгээлдүү иерархиясы. Хабдын статикалык конфигурациясы жана Spokeдун Хабга статикалык байланышы, ошондой эле берилиштер-тегиздик байланышын түзүү үчүн NHRP протоколу аркылуу өз ара аракеттенүү талап кылынат. Демек, Хабга өзгөртүүлөрдү киргизүү кыйла татаалдашатмисалы, жаңы WAN каналдарын өзгөртүү/туташтыруу же бар болгондордун параметрлерин өзгөртүү менен байланышкан.
  • в SD WAN башкаруу тегиздигине (OMP протоколу) жана оркестрдик тегиздикке (контроллерди аныктоо жана NAT өтүү тапшырмалары үчүн vBond контроллери менен өз ара аракеттенүү) негизинде орнотулган туннелдердин параметрлерин аныктоо үчүн толук динамикалык модель болуп саналат. Мында ар кандай үстүртүлгөн топологиялар, анын ичинде иерархиялык топологиялар колдонулушу мүмкүн. Түзүлгөн туннел топологиясынын алкагында ар бир жеке VPNде (VRF) логикалык топологияны ийкемдүү конфигурациялоо мүмкүн.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Башкаруучу учак – чечүү компоненттеринин ортосунда маршруттук жана башка маалыматтарды алмашуу, чыпкалоо жана модификациялоо функциялары.

  • в DMVPN/PfR – Hub жана Spoke роутерлеринин ортосунда гана жүргүзүлөт. Spokes ортосунда маршруттук маалыматты түз алмашуу мүмкүн эмес. Демек, Иштөөчү Hub болбосо, башкаруу тегиздиги жана маалымат тегиздиги иштей албайт, бул Хабга ар дайым аткарыла албаган кошумча жогорку жеткиликтүүлүк талаптарын жүктөйт.
  • в SD WAN – башкаруу тегиздиги эч качан роутерлердин ортосунда түз жүргүзүлбөйт – өз ара аракеттенүү OMP протоколунун негизинде ишке ашат жана сөзсүз түрдө тең салмактуулукту, гео резервацияны жана борборлоштурулган башкарууну камсыз кылуучу vSmart контроллердин өзүнчө адистештирилген түрү аркылуу ишке ашырылат. сигнал жүктөө. OMP протоколунун дагы бир өзгөчөлүгү анын жоготууларга олуттуу каршылыгы жана контроллерлор менен байланыш каналынын ылдамдыгынан көз карандысыздыгы (албетте, акылга сыярлык чектерде). Бул SD-WAN контроллерлорун Интернет аркылуу жеткиликтүү коомдук же жеке булуттарга ийгиликтүү жайгаштырууга мүмкүндүк берет.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Саясат планы – бөлүштүрүлгөн тармакта трафикти башкаруу саясатын аныктоо, жайылтуу жана колдонуу үчүн жооптуу чечимдин бөлүгү.

  • DMVPN – CLI же Prime Infrastructure үлгүлөрү аркылуу ар бир роутерде жекече конфигурацияланган тейлөө сапаты (QoS) саясаты менен натыйжалуу чектелет.
  • DMVPN/PfR – PfR саясаттары CLI аркылуу борборлоштурулган Master Controller (MC) роутеринде түзүлөт жана андан кийин автоматтык түрдө филиалдык МКларга бөлүштүрүлөт. Бул учурда, ошол эле саясатты өткөрүп берүү жолдору маалымат-тегиздиги үчүн колдонулат. Саясаттарды, маршруттук маалыматты жана колдонуучунун маалыматтарын алмашууну бөлүү мүмкүнчүлүгү жок. Саясатты жайылтуу үчүн Hub жана Spoke ортосунда IP байланышынын болушу талап кылынат. Бул учурда, MC функциясы, зарыл болсо, DMVPN роутер менен айкалыштырылышы мүмкүн. Борборлоштурулган саясатты түзүү үчүн Prime Infrastructure үлгүлөрүн колдонуу мүмкүн (бирок талап кылынбайт). Маанилүү өзгөчөлүгү саясат бүткүл тармакта бирдей түрдө түзүлөт - Жеке сегменттер үчүн жеке саясаттар колдоого алынбайт.
  • SD WAN – трафикти башкаруу жана тейлөө саясаты борборлоштурулган Cisco vManage графикалык интерфейси аркылуу аныкталат, Интернет аркылуу да жеткиликтүү (зарыл болсо). Алар vSmart контроллерлору аркылуу түз же кыйыр түрдө сигнал берүү каналдары аркылуу бөлүштүрүлөт (саясаттын түрүнө жараша). Алар роутерлердин ортосундагы маалымат-теңиздик байланышына көз каранды эмес, анткени контроллер менен роутердин ортосундагы бардык жеткиликтүү трафик жолдорун колдонуңуз.

    Тармактын ар кандай сегменттери үчүн ар кандай саясаттарды ийкемдүү түрдө түзүүгө болот - саясаттын масштабы чечимде каралган көптөгөн уникалдуу идентификаторлор менен аныкталат - филиалдын номери, тиркеменин түрү, трафиктин багыты ж.б.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Оркестрдик учак – компоненттерге бири-бирин динамикалык түрдө аныктоого, кийинки өз ара аракеттенүүнү конфигурациялоого жана координациялоого мүмкүндүк берүүчү механизмдер.

  • в DMVPN/PfR Маршрутизаторлордун ортосундагы өз ара ачылыш Hub түзмөктөрүнүн статикалык конфигурациясына жана Spoke түзмөктөрүнүн тиешелүү конфигурациясына негизделген. Динамикалык ачылыш Spoke үчүн гана болот, ал өзүнүн Hub туташуу параметрлерин түзмөккө билдирет, ал өз кезегинде Spoke менен алдын ала конфигурацияланган. Spoke менен жок дегенде бир Hub ортосунда IP байланышы болбосо, маалымат тегиздигин же башкаруу тегиздигин түзүү мүмкүн эмес.
  • в SD WAN Чечим компоненттеринин оркестри vBond контроллерин колдонуу менен ишке ашат, анын жардамы менен ар бир компонент (роутерлер жана vManage/vSmart контроллерлору) алгач IP байланышын түзүшү керек.

    Башында, компоненттер бири-биринин туташуу параметрлери жөнүндө билишпейт - бул үчүн аларга vBond ортомчу оркестри керек. Жалпы принцип төмөнкүдөй - баштапкы фазадагы ар бир компонент (автоматтык же статикалык) vBond менен туташуу параметрлерин гана үйрөнөт, андан кийин vBond роутерге vManage жана vSmart контроллерлору (мурда ачылган) жөнүндө маалымат берет, бул автоматтык түрдө орнотууга мүмкүндүк берет. бардык зарыл болгон сигналдык байланыштар.

    Кийинки кадам - ​​жаңы роутер vSmart контроллери менен OMP байланышы аркылуу тармактагы башка роутерлер жөнүндө билүү. Ошентип, роутер, адегенде тармак параметрлери жөнүндө эч нерсе билбестен, контроллерлорду толук автоматтык түрдө аныктап, туташа алат, андан кийин башка роутерлер менен байланышты автоматтык түрдө аныктап, түзө алат. Бул учурда, бардык компоненттеринин кошулуу параметрлери башында белгисиз жана иш учурунда өзгөрүшү мүмкүн.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Башкаруучу учак – борборлоштурулган башкарууну жана мониторингди камсыз кылган чечимдин бөлүгү.

  • DMVPN/PfR – эч кандай адистештирилген башкаруу-тегиздик чечими каралган эмес. Негизги автоматташтыруу жана мониторинг жүргүзүү үчүн Cisco Prime Infrastructure сыяктуу өнүмдөрдү колдонсо болот. Ар бир роутер CLI буйрук сабы аркылуу башкаруу мүмкүнчүлүгүнө ээ. API аркылуу тышкы системалар менен интеграция каралган эмес.
  • SD WAN – бардык үзгүлтүксүз өз ара аракеттенүү жана мониторинг борборлоштурулган vManage контроллерунун графикалык интерфейси аркылуу ишке ашырылат. Чечимдин бардык мүмкүнчүлүктөрү vManage аркылуу конфигурациялоо үчүн, ошондой эле толук документтештирилген REST API китепканасы аркылуу жеткиликтүү.

    vManageдеги бардык SD-WAN тармак орнотуулары эки негизги конструкцияга туура келет - түзмөк шаблондорун түзүү (Түзмөктүн шаблону) жана тармактын иштөө логикасын жана трафикти кайра иштетүүнү аныктоочу саясатты түзүү. Ошол эле учурда, vManage, администратор тарабынан түзүлгөн саясатты трансляциялоо менен, автоматтык түрдө кайсы өзгөрүүлөрдү жана кайсы жеке түзмөктөрдө/контроллерлерде жасалышы керектигин тандап алат, бул чечимдин натыйжалуулугун жана масштабдуулугун олуттуу жогорулатат.

    vManage интерфейси аркылуу Cisco SD-WAN чечиминин конфигурациясы гана эмес, ошондой эле чечимдин бардык компоненттеринин абалына, айрым туннелдер үчүн метрикалардын учурдагы абалына жана ар кандай тиркемелерди колдонуу статистикасына чейин толук мониторинг жүргүзүү мүмкүн. DPI анализинин негизинде.

    Өз ара аракеттенүүнүн борборлоштурулганына карабастан, бардык компоненттерде (контроллерлор жана роутерлор) ошондой эле ишке ашыруу стадиясында же локалдык диагностика үчүн өзгөчө кырдаалдарда зарыл болгон толук функционалдык CLI командалык сабы бар. Кадимки режимде (компоненттердин ортосунда сигнал берүү каналы бар болсо) роутерлерде буйрук сабы диагностика үчүн гана жеткиликтүү жана локалдык өзгөртүүлөрдү киргизүү үчүн жеткиликтүү эмес, бул жергиликтүү коопсуздукту кепилдейт жана мындай тармактагы өзгөрүүлөрдүн жалгыз булагы vManage болуп саналат.

Интегралдык коопсуздук – бул жерде биз ачык каналдар аркылуу берилүүчү колдонуучунун маалыматтарын коргоо жөнүндө гана эмес, тандалган технологиянын негизинде WAN тармагынын жалпы коопсуздугу жөнүндө да сөз кылышыбыз керек.

  • в DMVPN/PfR Колдонуучунун маалыматтарын жана сигнал берүү протоколдорун шифрлөө мүмкүн. Белгилүү бир роутер моделдерин колдонууда трафикти текшерүү, IPS/IDS менен брандмауэр функциялары кошумча жеткиликтүү. VRF аркылуу филиалдык тармактарды сегменттесе болот. Башкаруу протоколдорун (бир факторлуу) аутентификациялоо мүмкүн.

    Бул учурда, алыскы роутер демейки боюнча тармактын ишенимдүү элементи болуп эсептелет - б.а. жеке түзүлүштөрдүн физикалык бузулуу учурлары жана аларга уруксатсыз кирүү мүмкүнчүлүгү каралбайт же географиялык жактан бөлүштүрүлгөн тармакта чечимдин компоненттеринин эки фактордук аутентификациясы жок; олуттуу кошумча тобокелдиктерди алып келиши мүмкүн.

  • в SD WAN DMVPN менен аналогия боюнча, колдонуучунун маалыматтарын шифрлөө мүмкүнчүлүгү камсыз кылынат, бирок тармактын коопсуздугу жана L3/VRF сегментациялоо функциялары (брандмауэр, IPS/IDS, URL чыпкалоо, DNS чыпкалоо, AMP/TG, SASE, TLS/SSL прокси, ж.б.) г.). Ошол эле учурда, шифрлөө ачкычтарын алмашуу коопсуздук сертификаттарынын негизинде DTLS/TLS шифрлөө менен корголгон, алдын ала түзүлгөн сигнализация каналдары аркылуу vSmart контроллерлору аркылуу (түздөн-түз эмес) натыйжалуу ишке ашат. Бул өз кезегинде мындай алмашуулардын коопсуздугун кепилдейт жана бир эле тармактагы он миңдеген түзмөктөргө чейин чечимдин жакшыраак масштабдуулугун камсыз кылат.

    Бардык сигнал байланыштары (контроллер-контроллер, контроллер-роутер) ошондой эле DTLS/TLS негизинде корголот. Маршрутизаторлор алмаштыруу/узартуу мүмкүнчүлүгү менен өндүрүш учурунда коопсуздук сертификаттары менен жабдылган. Эки факторлуу аутентификация SD-WAN тармагында роутер/контроллер иштеши үчүн эки шартты милдеттүү түрдө жана бир убакта аткаруу аркылуу ишке ашат:

    • Жарактуу коопсуздук тастыктамасы
    • Ар бир компоненттин администратор тарабынан уруксат берилген түзүлүштөрдүн “ак” тизмесине ачык-айкын жана аң-сезимдүү киргизүү.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

SD-WAN жана DMVPN/PfR ортосундагы функционалдык айырмачылыктар

Функционалдык айырмачылыктарды талкуулоого өтүү менен, алардын көбү архитектуралыктардын уландысы экендигин белгилей кетүү керек - чечимдин архитектурасын түзүүдө иштеп чыгуучулар акыры алгысы келген мүмкүнчүлүктөрдөн баштаары жашыруун эмес. . Келгиле, эки технологиянын ортосундагы олуттуу айырмачылыктарды карап көрөлү.

AppQ (Колдонмонун сапаты) – бизнес тиркеме трафигин берүүнүн сапатын камсыз кылуу функциялары

Каралып жаткан технологиялардын негизги функциялары бөлүштүрүлгөн тармакта бизнес үчүн маанилүү тиркемелерди колдонууда колдонуучу тажрыйбасын мүмкүн болушунча жакшыртууга багытталган. Бул инфраструктуранын бир бөлүгү IT тарабынан көзөмөлдөнбөгөн же маалыматтарды ийгиликтүү өткөрүп берүүгө кепилдик бербеген шарттарда өзгөчө маанилүү.

DMVPN өзү мындай механизмдерди камсыз кылбайт. Классикалык DMVPN тармагында жасала турган эң жакшы нерсе - бул чыгуучу трафикти тиркеме боюнча классификациялоо жана WAN каналына берилгенде ага артыкчылык берүү. DMVPN туннелин тандоо бул учурда анын болушу жана маршруттук протоколдорунун иштешинин натыйжасы менен гана аныкталат. Ошол эле учурда жолдун/туннелдин акырына чейинки абалы жана анын мүмкүн болгон жарым-жартылай деградациясы тармактык колдонмолор үчүн маанилүү болгон негизги көрсөткүчтөр – кечигүү, кечиктирүү вариациясы (життер) жана жоготуулар (%) жагынан эске алынбайт. ). Бул жагынан алганда, AppQ көйгөйлөрүн чечүү жагынан классикалык DMVPN менен SD-WAN менен түздөн-түз салыштыруу бардык маанисин жоготот - DMVPN бул маселени чече албайт. Бул контекстке Cisco Performance Routing (PfR) технологиясын кошкондо, кырдаал өзгөрүп, Cisco SD-WAN менен салыштыруу маңыздуураак болот.

Айырмачылыктарды талкуулоодон мурун, бул жерде технологиялардын окшоштугуна кыскача көз чаптырыңыз. Ошентип, эки технология:

  • ар бир белгиленген туннелдин абалын белгилүү бир метрика боюнча динамикалык баалоого мүмкүндүк берүүчү механизмге ээ - минималдуу, кечигүү, кечиктирүү вариациясы жана пакеттин жоготуусу (%)
  • негизги туннель метрикасынын абалын өлчөөнүн натыйжаларын эске алуу менен жол кыймылын башкаруу эрежелерин (саясаттарын) калыптандыруу, жайылтуу жана колдонуу үчүн инструменттердин белгилүү бир топтомун колдонуу.
  • роутерге орнотулган DPI механизмдеринин негизинде OSI моделинин L3-L4 (DSCP) деңгээлинде же L7 колдонмо кол тамгалары боюнча колдонмо трафигин классификациялоо
  • Маанилүү тиркемелер үчүн алар метрикалардын алгылыктуу босого маанилерин, демейки боюнча трафикти өткөрүү эрежелерин жана чектик маанилерден ашып кеткенде трафиктин багытын өзгөртүү эрежелерин аныктоого мүмкүндүк берет.
  • GRE/IPSecте трафикти инкапсуляциялоодо алар ички DSCP белгилерин тышкы GRE/IPSEC пакеттин аталышына өткөрүү үчүн мурдатан түзүлгөн тармактык механизмди колдонушат, бул уюмдун жана байланыш операторунун QoS саясатын синхрондоштурууга мүмкүндүк берет (эгер тиешелүү SLA бар болсо). .

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

SD-WAN жана DMVPN/PfR аягына чейин көрсөткүчтөрү кандайча айырмаланат?

DMVPN/PfR

  • Активдүү жана пассивдүү программалык сенсорлор (Зонддор) стандарттуу туннелдин ден соолук көрсөткүчтөрүн баалоо үчүн колдонулат. Активдүүлөрү колдонуучу трафигине негизделет, пассивдүүлөрү мындай трафикти туурашат (ал жок болгон учурда).
  • Таймерлердин так жөндөөлөрү жана деградацияны аныктоо шарттары жок - алгоритм бекитилген.
  • Мындан тышкары, чыгуучу багытта колдонулган өткөрүү жөндөмдүүлүгүн өлчөө жеткиликтүү. Бул DMVPN/PfRге трафикти башкаруунун кошумча ийкемдүүлүгүн кошот.
  • Ошол эле учурда, кээ бир PfR механизмдери, метрикадан ашып кеткенде, трафикти алуучудан булакка карай келүүгө тийиш болгон атайын TCA (Threshold Crossing Alert) билдирүүлөрү түрүндөгү кайтарым байланыш сигналдарына таянышат, бул өз кезегинде трафиктин абалына ишенет. өлчөнгөн каналдар, жок эле дегенде, мындай TCA билдирүүлөрдү берүү үчүн жетиштүү болушу керек. Бул көпчүлүк учурларда көйгөй эмес, бирок, албетте, кепилдик бере албайт.

SD WAN

  • Туннелдин стандарттык көрсөткүчтөрүн аягына чейин баалоо үчүн BFD протоколу жаңырык режиминде колдонулат. Бул учурда, TCA же окшош билдирүүлөр түрүндөгү атайын пикир талап кылынбайт - иштебей калган домендердин изоляциясы сакталат. Ошондой эле туннелдин абалын баалоо үчүн колдонуучу трафигинин болушун талап кылбайт.
  • Алгоритмдин жооп берүү ылдамдыгын жана байланыш каналынын деградациясына сезгичтигин бир нече секундадан мүнөткө чейин жөнгө салуу үчүн BFD таймерлерин тактоо мүмкүн.

    Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

  • Жазуу учурунда ар бир туннелде бир гана BFD сессиясы бар. Бул туннелдин абалын талдоодо азыраак гранулдуулукту жаратышы мүмкүн. Чындыгында, эгер сиз макулдашылган QoS SLA менен MPLS L2/L3 VPNге негизделген WAN туташуусун колдонсоңуз, бул чектөө болуп калышы мүмкүн - эгерде BFD трафигинин DSCP белгиси (IPSec/GREде инкапсуляциядан кийин) жогорку артыкчылыктуу кезекке дал келсе. байланыш операторунун тармагы, анда бул аз артыкчылыктуу трафик үчүн деградацияны аныктоонун тактыгына жана ылдамдыгына таасир этиши мүмкүн. Ошол эле учурда, мындай жагдайлардын коркунучун азайтуу үчүн демейки BFD этикеткасын өзгөртүүгө болот. Cisco SD-WAN программалык камсыздоосунун келечектеги версияларында дагы жакшыртылган BFD жөндөөлөрү, ошондой эле жеке DSCP маанилери (ар кандай тиркемелер үчүн) менен бир туннелдин ичинде бир нече BFD сессияларын ишке киргизүү мүмкүнчүлүгү күтүлүүдө.
  • BFD кошумча түрдө белгилүү бир туннель аркылуу фрагментациясыз берилүүчү пакеттин максималдуу өлчөмүн баалоого мүмкүндүк берет. Бул SD-WANга MTU жана TCP MSS Adjust сыяктуу параметрлерди динамикалык түрдө жөндөп, ар бир шилтемеде жеткиликтүү өткөрүү мүмкүнчүлүгүн максималдуу түрдө колдонууга мүмкүндүк берет.
  • SD-WANда, байланыш операторлорунун QoS синхрондоштуруу опциясы да бар, бул L3 DSCP талааларына гана эмес, ошондой эле L2 CoS баалуулуктарына негизделген, алар тармактык тармакта адистештирилген түзүлүштөр тарабынан автоматтык түрдө түзүлүшү мүмкүн - мисалы, IP телефондор

AppQ саясатын аныктоо жана колдонуу мүмкүнчүлүктөрү, ыкмалары кандайча айырмаланат?

DMVPN/PfR саясаттары:

  • CLI буйрук сабы же CLI конфигурациясынын калыптары аркылуу борбордук тармактык роутер(лер)де аныкталган. CLI шаблондорун түзүү саясаттын синтаксисин даярдоону жана билимди талап кылат.

    Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

  • Дүйнөлүк деңгээлде аныкталган жеке конфигурация/жеке тармак сегменттеринин талаптарына өзгөртүү мүмкүнчүлүгү жок.
  • Интерактивдүү саясатты түзүү графикалык интерфейсте каралган эмес.
  • Өзгөртүүлөргө көз салуу, мурастоо жана тез которуу үчүн саясаттын бир нече версиясын түзүү камсыз кылынбайт.
  • Алыскы филиалдардын роутерлерине автоматтык түрдө бөлүштүрүлөт. Бул учурда, ошол эле байланыш каналдары колдонуучу маалыматтарды берүү үчүн колдонулат. Борбордук жана алыскы филиалдын ортосунда байланыш каналы жок болсо, саясатты бөлүштүрүү/өзгөртүү мүмкүн эмес.
  • Алар ар бир роутерде колдонулат жана зарыл болсо, жогорку артыкчылыкка ээ болгон стандарттуу маршрутташтыруу протоколдорунун натыйжасын өзгөртөт.
  • Бардык тармактык WAN шилтемелери трафиктин олуттуу жоготууларына дуушар болгон учурларда, компенсациялоо механизмдери каралган эмес.

SD-WAN саясаттары:

  • vManage GUIде интерактивдүү шаблон устасы аркылуу аныкталган.
  • Бир нече саясатты түзүүнү, көчүрүүнү, мурастоону, реалдуу убакыт режиминде саясаттарды которуштурууну колдойт.
  • Ар кандай тармак сегменттери (филиалдар) үчүн жеке саясат жөндөөлөрүн колдойт
  • Алар контроллер менен роутердин жана/же vSmart ортосундагы жеткиликтүү сигнал каналынын жардамы менен бөлүштүрүлөт - роутерлердин ортосундагы маалымат-тегиздигине түздөн-түз көз каранды эмес. Бул, албетте, роутердин өзү менен контроллерлордун ортосунда IP байланышын талап кылат.

    Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

  • Филиалдын бардык колдо болгон бутактары критикалык тиркемелер үчүн алгылыктуу чектен ашкан олуттуу маалымат жоготууларына дуушар болгон учурларда, берүүнүн ишенимдүүлүгүн жогорулатуучу кошумча механизмдерди колдонууга болот:
    • FEC (Алга катаны оңдоо) – атайын ашыкча коддоо алгоритмин колдонот. Критикалык трафикти жоготуулардын олуттуу пайызы болгон каналдар боюнча өткөрүп жатканда, FEC автоматтык түрдө активдештирилиши мүмкүн жана зарыл болсо, маалыматтардын жоголгон бөлүгүн калыбына келтирүүгө мүмкүндүк берет. Бул колдонулган өткөрүү жөндөмдүүлүгүн бир аз жогорулатат, бирок ишенимдүүлүгүн кыйла жакшыртат.

      Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

    • Маалымат агымдарынын кайталанышы – ФЭКтен тышкары, саясат ФЭК тарабынан компенсацияланбай турган жоготуулардын андан да олуттуу деңгээли болгон учурда тандалган колдонмолордун трафигинин автоматтык түрдө кайталанышын камсыздай алат. Бул учурда, тандалган маалыматтар бардык туннелдер аркылуу кабыл алуучу филиалга жөнөтүлөт, андан кийин де-дупликация (пакеттердин кошумча көчүрмөлөрүн таштоо). Механизм каналды пайдаланууну бир топ жогорулатат, бирок ошондой эле берүүнүн ишенимдүүлүгүн кыйла жогорулатат.

Cisco SD-WAN мүмкүнчүлүктөрү, DMVPN/PfR түз аналогу жок

Cisco SD-WAN чечиминин архитектурасы кээ бир учурларда DMVPN/PfR ичинде ишке ашыруу өтө кыйын, же талап кылынган эмгек чыгымдарынан улам ишке ашпаган же таптакыр мүмкүн эмес мүмкүнчүлүктөрдү алууга мүмкүндүк берет. Алардын эң кызыктуусун карап көрөлү:

Трафик инженериясы (TE)

TE трафикти маршруттук протоколдор менен түзүлгөн стандарттуу жолдон бутактуу кылууга мүмкүндүк берүүчү механизмдерди камтыйт. TE көбүнчө тармактык кызматтардын жогорку жеткиликтүүлүгүн камсыз кылуу үчүн колдонулат, тез жана/же критикалык трафикти альтернативдик (бөлүнгөн) берүү жолуна өткөрүү мүмкүнчүлүгү аркылуу, кызматтын сапатын же иштебей калган учурда калыбына келтирүүнүн ылдамдыгын камсыз кылуу үчүн. негизги жолдо.

ТЭ ишке ашыруудагы кыйынчылык альтернативалуу жолду алдын ала эсептөө жана резервдештирүү (текшерүү) зарылдыгында. Байланыш операторлорунун MPLS түйүндөрүндө бул маселе MPLS Traffic-Engineering сыяктуу IGP протоколдорунун жана RSVP протоколунун кеңейтилген технологияларын колдонуу менен чечилет. Ошондой эле жакында, борборлоштурулган конфигурация жана оркестрлөө үчүн оптималдаштырылган Segment Routing технологиясы барган сайын популярдуу болуп калды. Классикалык WAN тармактарында бул технологиялар, адатта, көрсөтүлбөйт же саясатка негизделген маршрутташтыруу (PBR) сыяктуу хоп-хоп механизмдерин колдонууга кыскартылат, алар трафикти тармакка бөлүүгө жөндөмдүү, бирок муну ар бир роутерде өзүнчө ишке ашырат - албастан тармактын жалпы абалын эске алуу же мурунку же кийинки кадамдардагы PBR натыйжасы. Бул TE опцияларын колдонуунун натыйжасы капалантат - конфигурациясынын жана иштөөсүнүн татаалдыгынан улам MPLS TE, эреже катары, тармактын эң критикалык бөлүгүндө (өзөк) гана колдонулат, ал эми PBR жеке роутерлерде колдонулат. бүт тармак үчүн бирдиктүү PBR саясатын түзүү мүмкүнчүлүгү. Албетте, бул DMVPN негизиндеги тармактарга да тиешелүү.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Бул жагынан SD-WAN конфигурациялоо оңой гана эмес, бир топ жакшыраак масштабдуу бир кыйла көрктүү чечимди сунуштайт. Бул колдонулган башкаруу-тегиздик жана саясат-тегиздик архитектуралардын натыйжасы. SD-WANда саясаттын тегиздигин ишке ашыруу TE саясатын борборлоштурган аныктоого мүмкүндүк берет - кандай трафик кызыкдар? кайсы VPN үчүн? Кайсы түйүндөр/туннельдер аркылуу альтернативдүү жолду түзүү зарыл же тескерисинче, тыюу салынган? Өз кезегинде, vSmart контроллерлорунун негизинде башкаруу тегиздигин башкаруунун борборлошуусу жеке түзмөктөрдүн жөндөөлөрүнө кайрылбастан, маршруттук натыйжаларды өзгөртүүгө мүмкүндүк берет - роутерлор vManage интерфейсинде түзүлгөн жана колдонууга берилген логиканын натыйжасын гана көрүшөт. vSmart.

Кызмат чынжырчасы

Кызмат чынжырларын түзүү классикалык маршрутташууда буга чейин сүрөттөлгөн Traffic-Engineering механизмине караганда көбүрөөк эмгекти талап кылган иш. Чынында эле, бул учурда, белгилүү бир тармактык тиркеме үчүн атайын маршрутту түзүү үчүн гана эмес, ошондой эле иштетүү үчүн SD-WAN тармагынын белгилүү (же бардык) түйүндөрүндө тармактан трафикти алып салуу мүмкүнчүлүгүн камсыз кылуу зарыл. атайын тиркеме же кызмат (Брандмауэр, балансташтыруу, кэштөө, текшерүү трафиги ж.б.). Ошол эле учурда бул тышкы кызматтардын абалын көзөмөлдөө мүмкүнчүлүгүнө ээ болуу зарыл, ошондой эле «кара тешик» жагдайларын болтурбоо үчүн, ошондой эле бир типтеги мындай тышкы кызматтарды ар кандай геолокацияларда жайгаштырууга мүмкүндүк берүүчү механизмдер керек. тармактын белгилүү бир филиалдын трафигин иштетүү үчүн эң оптималдуу кызмат түйүнүн автоматтык түрдө тандоо мүмкүнчүлүгү менен. Cisco SD-WAN шартында, максаттуу тейлөө чынжырынын бардык аспектилерин бир бүтүнгө "жабыштырып" турган жана маалымат тегистигин жана башкаруу тегиздигинин логикасын автоматтык түрдө өзгөрткөн тиешелүү борборлоштурулган саясатты түзүү аркылуу жетишүү оңой. жана зарыл болгондо.

Cisco SD-WAN DMVPN отурган бутакты кесип салабы?

Адистештирилген (бирок SD-WAN тармагынын өзүнө тиешеси жок) жабдууларда белгилүү бир ырааттуулукта тандалып алынган тиркемелердин түрлөрүнүн трафигинин гео-бөлүштүрүлгөн иштетүүсүн түзүү мүмкүнчүлүгү, балким, классикалык караганда Cisco SD-WAN артыкчылыктарынын эң айкын далили болуп саналат. технологиялар жана башка өндүрүүчүлөрдүн кээ бир альтернативдүү SD чечимдери -WAN.

Мунун натыйжасы кандай болот?

Албетте, DMVPN (Performance Routing менен же ансыз) жана Cisco SD-WAN абдан окшош көйгөйлөрдү чечүү аяктайт уюмдун бөлүштүрүлгөн WAN тармагына карата. Ошол эле учурда, Cisco SD-WAN технологиясындагы олуттуу архитектуралык жана функционалдык айырмачылыктар бул маселелерди чечүү процессине алып келет. сапаттын башка деңгээлине. Жыйынтыктап айтканда, SD-WAN жана DMVPN/PfR технологияларынын ортосундагы төмөнкү олуттуу айырмачылыктарды белгилей алабыз:

  • DMVPN/PfR жалпысынан VPN түйүндөрүн куруу үчүн убакыт сынагынан өткөн технологияларды колдонот жана маалымат түзүлүшү жагынан заманбап SD-WAN технологиясына окшош, бирок милдеттүү статикалык конфигурация түрүндө бир катар чектөөлөр бар. роутерлердин жана топологиялардын тандоосу Hub-n-Spoke менен чектелген. Башка жагынан алганда, DMVPN/PfR SD-WAN ичинде али жеткиликтүү эмес айрым функцияларга ээ (биз BFD колдонмосу жөнүндө сөз болуп жатабыз).
  • Башкаруучу учактын ичинде технологиялар түп-тамырынан бери айырмаланат. Сигналдаштыруу протоколдорун борборлоштурулган иштетүүнү эске алуу менен, SD-WAN, атап айтканда, иштебей калган домендерди бир топ тарытууга жана колдонуучу трафигин сигналдык өз ара аракеттенүүдөн "ажыратууга" мүмкүндүк берет - контроллердин убактылуу жоктугу колдонуучу трафигин өткөрүү мүмкүнчүлүгүнө таасирин тийгизбейт. . Ошол эле учурда кайсы бир филиалдын (анын ичинде борбордук филиалдын) убактылуу иштебей калышы башка филиалдардын бири-бири менен жана контроллерлор менен өз ара аракеттенүү мүмкүнчүлүгүнө эч кандай таасир этпейт.
  • SD-WAN шартында трафикти башкаруу саясатын түзүү жана колдонуу архитектурасы DMVPN/PfRдегиден да жогору - гео резервация бир топ жакшыраак ишке ашырылган, Хаб менен байланыш жок, айып салуу үчүн көбүрөөк мүмкүнчүлүктөр бар -тюнинг саясаттары, ишке ашырылган трафикти башкаруу сценарийлеринин тизмеси дагы бир топ чоң.
  • Чечимди уюштуруу процесси да бир кыйла айырмаланат. DMVPN мурда белгилүү болгон параметрлердин болушун болжолдойт, алар кандайдыр бир жол менен конфигурацияда чагылдырылышы керек, бул чечимдин ийкемдүүлүгүн жана динамикалык өзгөрүүлөрдүн мүмкүнчүлүгүн бир аз чектейт. Өз кезегинде, SD-WAN биринчи туташууда роутер өзүнүн контроллерлору жөнүндө "эч нерсе билбейт", бирок "кимден сураса болот" деген парадигмага негизделген - бул автоматтык түрдө байланышты орнотуу үчүн гана жетиштүү эмес. контроллерлорду, ошондой эле автоматтык түрдө толугу менен туташтырылган маалымат тендигинин топологиясын түзүүгө, андан кийин саясаттарды колдонуу менен ийкемдүү конфигурацияланууга/өзгөртүүгө болот.
  • Борборлоштурулган башкаруу, автоматташтыруу жана мониторинг жүргүзүү жагынан SD-WAN классикалык технологиялардан өнүккөн жана CLI буйрук сабына жана шаблонго негизделген NMS системаларын колдонууга көбүрөөк таянган DMVPN/PfR мүмкүнчүлүктөрүнөн ашып түшүшү күтүлүүдө.
  • SD-WANда, DMVPN менен салыштырганда, коопсуздук талаптары башка сапаттык деңгээлге жеткен. Негизги принциптери - нөлдүк ишеним, масштабдуу болуу жана эки фактордук аутентификация.

Бул жөнөкөй корутундулар DMVPN/PfR негизинде тармакты түзүү бүгүнкү күндө бардык актуалдуулугун жоготкон деген туура эмес ойду жаратышы мүмкүн. Бул, албетте, толугу менен туура эмес. Мисалы, тармак эскирген жабдууларды көп колдонгон жана аны алмаштырууга эч кандай жол жок болгон учурларда, DMVPN сизге "эски" жана "жаңы" түзмөктөрдү бир гео бөлүштүрүлгөн тармакка бириктирүүгө мүмкүндүк берет, алар сүрөттөлгөн көптөгөн артыкчылыктарга ээ. жогоруда.

Башка жагынан алганда, IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) негизиндеги бардык учурдагы Cisco корпоративдик роутерлери бүгүнкү күндө ар кандай иштөө режимин - классикалык маршрутташтыруу жана DMVPN жана SD-WAN да колдой турганын эстен чыгарбоо керек. тандоо учурдагы муктаждыктар менен аныкталат жана каалаган учурда, ошол эле жабдууларды колдонуу менен, сиз өнүккөн технологияга карай жылып баштаса болот.

Source: www.habr.com

Комментарий кошуу