ProHoster > Blog > Administratioun > Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Zënter August 2017, wéi Cisco Viptela kaaft huet, ass d'Haapttechnologie ugebueden fir verdeelt Enterprise Netzwierker ze organiséieren Cisco SD-WAN. An de leschten 3 Joer huet SD-WAN Technologie vill Ännerungen duerchgaang, souwuel qualitativ wéi quantitativ. Also ass d'Funktionalitéit wesentlech erweidert an d'Ënnerstëtzung ass op klassesch Router vun der Serie opgetaucht Cisco ISR 1000, ISR 4000, ASR 1000 a Virtual CSR 1000v. Zur selwechter Zäit froe vill Cisco Clienten a Partner sech weider: wat sinn d'Ënnerscheeder tëscht Cisco SD-WAN a schonn kennt Approche baséiert op Technologien wéi Cisco DMVPN и Cisco Leeschtung Routing a wéi wichteg sinn dës Ënnerscheeder?

Hei sollte mir direkt reservéieren datt virun der Advent vum SD-WAN am Cisco Portfolio, DMVPN zesumme mat PfR e Schlësselelement an der Architektur geformt huet Cisco IWAN (Intelligent WAN), deen am Tour de Virgänger vun der voller SD-WAN Technologie war. Trotz der allgemenger Ähnlechkeet vu béiden Aufgaben, déi geléist ginn an d'Methoden fir se ze léisen, krut d'IWAN ni den Niveau vun der Automatisatioun, der Flexibilitéit an der Skalierbarkeet néideg fir SD-WAN, a mat der Zäit ass d'Entwécklung vum IWAN wesentlech erofgaang. Zur selwechter Zäit sinn d'Technologien, déi IWAN ausmaachen, net fortgaang, a vill Cliente benotze se weider erfollegräich, och op modern Ausrüstung. Als Resultat ass eng interessant Situatioun entstanen - déi selwecht Cisco Ausrüstung erlaabt Iech déi gëeegent WAN Technologie (Klassiker, DMVPN + PfR oder SD-WAN) am Aklang mat den Ufuerderungen an Erwaardungen vun de Clienten ze wielen.

Den Artikel ass net wëlles all d'Features vun Cisco SD-WAN an DMVPN Technologien (mat oder ouni Performance Routing) am Detail ze analyséieren - et gëtt eng rieseg Quantitéit vun verfügbaren Dokumenter a Material fir dëst. D'Haaptaufgab ass ze probéieren d'SchlësselËnnerscheeder tëscht dësen Technologien ze evaluéieren. Awer ier mer weidergoen fir dës Differenzen ze diskutéieren, loosst eis kuerz un d'Technologien selwer erënneren.

Wat ass Cisco DMVPN a firwat ass et néideg?

Cisco DMVPN léist de Problem vun der dynamescher (= skalierbarer) Verbindung vun engem Remote Branchennetz zum Netz vum Zentralbüro vun enger Entreprise wann Dir arbiträr Aarte vu Kommunikatiounskanäl benotzt, och den Internet (= mat Verschlësselung vum Kommunikatiounskanal). Technesch gëtt dëst realiséiert andeems en virtualiséierten Iwwerlagernetz vun der L3 VPN Klass am Punkt-zu-Multipunkt-Modus mat enger logescher Topologie vum Typ "Star" (Hub-n-Spoke) erstallt gëtt. Fir dëst z'erreechen, benotzt DMVPN eng Kombinatioun vun de folgenden Technologien:

  • IP Routing
  • Multipoint GRE Tunnel (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto Profiler

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Wat sinn d'Haaptvirdeeler vu Cisco DMVPN am Verglach zum klassesche Routing mat MPLS VPN Kanäl?

  • Fir en interbranch Netzwierk ze kreéieren ass et méiglech all Kommunikatiounskanäl ze benotzen - alles wat IP Konnektivitéit tëscht Filialen ubitt ass gëeegent, während de Traffic verschlësselt gëtt (wa néideg) a equilibréiert (wa méiglech)
  • Eng voll verbonne Topologie tëscht Branchen gëtt automatesch geformt. Zur selwechter Zäit ginn et statesch Tunnelen tëscht den Zentral- a Fernzweige, an dynamesch Tunnelen op Nofro tëscht de Fernzweige (wann et Traffic ass)
  • D'Router vun der Zentral- a Fernzweig hunn déiselwecht Konfiguratioun bis zu den IP Adressen vun den Interfaces. Andeems Dir mGRE benotzt, ass et net néideg Zénger, Honnerte oder souguer Dausende vun Tunnelen individuell ze konfiguréieren. Als Resultat, anstänneg Skalierbarkeet mat dem richtegen Design.

Wat ass Cisco Performance Routing a firwat ass et néideg?

Wann Dir DMVPN op engem Interbranch-Netz benotzt, bleift eng extrem wichteg Fro ongeléist - wéi dynamesch den Zoustand vun jiddereng vun den DMVPN-Tunnel beurteelen fir d'Konformitéit mat den Ufuerderunge vum Verkéier kritesch fir eis Organisatioun an, erëm, baséiert op sou enger Bewäertung, dynamesch maachen eng Decisioun iwwert d'Rerouting? D'Tatsaach ass datt DMVPN an dësem Deel wéineg vun der klassescher Routing ënnerscheet - dat Bescht wat gemaach ka ginn ass QoS Mechanismen ze konfiguréieren déi Iech erlaben de Verkéier an der erausgaang Richtung ze prioritären, awer op kee Fall fäeg sinn den Zoustand ze berücksichtegen. de ganze Wee op eng oder aner Zäit.

A wat maache wann de Kanal deelweis degradéiert an net komplett - wéi et z'entdecken an ze evaluéieren? DMVPN selwer kann dëst net maachen. Bedenkt datt d'Kanäl, déi Filialen verbannen, duerch komplett verschidden Telekomoperateure passéiere kënnen, mat ganz verschiddenen Technologien, gëtt dës Aufgab extrem net-trivial. An dat ass wou d'Cisco Performance Routing Technologie zur Rettung kënnt, déi zu där Zäit schonn duerch e puer Etappe vun der Entwécklung gaangen ass.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

D'Aufgab vum Cisco Performance Routing (nodréiglech PfR) geet erof op d'Messung vum Zoustand vu Weeër (Tunnel) vum Traffic baséiert op Schlësselmetriken wichteg fir Netzwierkapplikatiounen - latency, latency Variatioun (Jitter) a Paketverloscht (Prozentsaz). Zousätzlech kann déi gebrauchte Bandbreedung gemooss ginn. Dës Miessunge geschéien esou no bei Echtzäit wéi méiglech a gerechtfäerdegt, an d'Resultat vun dëse Miessunge erlaabt de Router mat PfR dynamesch Entscheedungen ze treffen iwwer d'Noutwennegkeet fir de Routing vun dësem oder deem Typ vu Verkéier z'änneren.

Also kann d'Aufgab vun der DMVPN / PfR Kombinatioun kuerz wéi follegt beschriwwe ginn:

  • Erlaabt de Client all Kommunikatiounskanäl am WAN Netzwierk ze benotzen
  • Vergewëssert Iech déi héchst méiglech Qualitéit vu kriteschen Uwendungen op dëse Kanäl

Wat ass Cisco SD-WAN?

Cisco SD-WAN ass eng Technologie déi d'SDN Approche benotzt fir e WAN Netzwierk vun enger Organisatioun ze kreéieren an ze bedreiwen. Dëst bedeit virun allem d'Benotzung vu sougenannte Controller (Software-Elementer), déi zentraliséiert Orchestratioun an automatiséiert Konfiguratioun vun all Léisungskomponenten ubidden. Am Géigesaz zum kanonesche SDN (Clean Slate Style), benotzt Cisco SD-WAN verschidden Aarte vu Controller, déi jidderee seng eege Roll ausféiert - dëst gouf virsiichteg gemaach fir besser Skalierbarkeet a Geo-Redundanz ze bidden.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Am Fall vun SD-WAN bleift d'Aufgab fir all Zorte vu Kanäl ze benotzen an d'Operatioun vu Geschäftsapplikatiounen ze garantéieren déiselwecht, awer gläichzäiteg d'Ufuerderunge fir d'Automatisatioun, d'Skaléierung, d'Sécherheet an d'Flexibilitéit vun esou engem Netz erweidert.

Diskussioun vun Differenzen

Wa mir elo ufänken d'Ënnerscheeder tëscht dësen Technologien ze analyséieren, falen se an eng vun de folgende Kategorien:

  • Architektonesch Differenzen - wéi sinn Funktiounen iwwer verschidde Komponente vun der Léisung verdeelt, wéi ass d'Interaktioun vun esou Komponenten organiséiert, a wéi beaflosst dëst d'Fäegkeeten an d'Flexibilitéit vun der Technologie?
  • Funktionalitéit - wat kann eng Technologie maachen, déi eng aner net kann? An ass et wierklech sou wichteg?

Wat sinn d'architektonesch Differenzen a si si wichteg?

All eenzel vun dësen Technologien huet vill "bewegt Deeler", déi net nëmmen an hirer Roll ënnerscheeden, awer och a wéi se matenee interagéieren. Wéi gutt dës Prinzipien duerchduecht ginn an déi allgemeng Mechanik vun der Léisung bestëmmen direkt seng Skalierbarkeet, Feelertoleranz an allgemeng Effizienz.

Loosst eis déi verschidden Aspekter vun der Architektur méi detailléiert kucken:

Daten-Fliger - Deel vun der Léisung verantwortlech fir de Benotzerverkéier tëscht der Quell an dem Empfänger ze vermëttelen. DMVPN an SD-WAN ginn allgemeng identesch op de Router selwer implementéiert baséiert op Multipoint GRE Tunnelen. Den Ënnerscheed ass wéi déi néideg Set vu Parameteren fir dës Tunnel geformt ass:

  • в DMVPN/PfR ass eng exklusiv zwee-Niveau Hierarchie vun Noden mat engem Star oder Hub-n-Spoke Topologie. Statesch Konfiguratioun vum Hub a statesch Bindung vum Spoke zum Hub sinn erfuerderlech, souwéi Interaktioun iwwer den NHRP Protokoll fir Datenplane Konnektivitéit ze bilden. Dofir, Ännerunge vum Hub wesentlech méi schwéier maachenZesummenhang, zum Beispill, änneren / Verbindung nei WAN Channels oder Ännerung vun de Parameteren vun bestehend.
  • в SD WAN ass e voll dynamesche Modell fir Parameteren vun installéierten Tunnelen z'entdecken baséiert op Kontrollplane (OMP Protokoll) an Orchestratiounsplang (Interaktioun mam vBond Controller fir Controllererkennung an NAT Traversal Aufgaben). An dësem Fall kënnen all iwwerlagert Topologien benotzt ginn, och hierarchesch. Bannent der etabléierter Overlay Tunnel Topologie ass flexibel Konfiguratioun vun der logescher Topologie an all eenzel VPN (VRF) méiglech.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Kontroll-Fliger - Funktioune vum Austausch, Filteren a Modifikatioun vu Routing an aner Informatioun tëscht Léisungskomponenten.

  • в DMVPN/PfR - nëmmen tëscht Hub a Spoke Router duerchgefouert. Direkten Austausch vu Routinginformatioun tëscht Spokes ass net méiglech. Dofir, Ouni e funktionnéierenden Hub kënnen d'Kontrollplan an d'Datefliger net funktionnéieren, déi zousätzlech héich Disponibilitéit Ufuerderunge op den Hub setzt, déi net ëmmer erfëllt kënne ginn.
  • в SD WAN - Kontroll-Fliger gëtt ni direkt tëscht Router duerchgefouert - Interaktioun geschitt op Basis vum OMP-Protokoll a gëtt onbedéngt duerch eng separat spezialiséiert Aart vu vSmart Controller duerchgefouert, déi d'Méiglechkeet bitt Balancéierung, Geo-Reservatioun an zentraliséierter Kontroll vun der Signal Luede. Eng aner Feature vum OMP Protokoll ass seng bedeitend Resistenz géint Verloschter an Onofhängegkeet vun der Geschwindegkeet vum Kommunikatiounskanal mat Controller (natierlech bannent raisonnabel Grenzen). Wat gläich erfollegräich erlaabt Iech SD-WAN Controller an ëffentlechen oder privaten Wolleken mat Zougang iwwer den Internet ze placéieren.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Politik-Fliger - Deel vun der Léisung verantwortlech fir Definitioun, Verdeelung an Ëmsetzung vun Verkéier Gestioun Politiken op engem verdeelt Reseau.

  • DMVPN - ass effektiv limitéiert duerch Qualitéit vum Service (QoS) Politik individuell op all Router iwwer d'CLI oder Prime Infrastructure Templates konfiguréiert.
  • DMVPN/PfR - PfR Politiken ginn op den zentraliséierte Master Controller (MC) Router iwwer den CLI geformt an dann automatesch op Filial MCs verdeelt. An dësem Fall ginn déiselwecht Politiktransferweeër benotzt wéi fir den Datefliger. Et gëtt keng Méiglechkeet den Austausch vu Politiken, Routinginformatioun a Benotzerdaten ze trennen. Politik Verbreedung erfuerdert d'Präsenz vun IP Konnektivitéit tëscht dem Hub a Spoke. An dësem Fall kann d'MC Funktioun, wann néideg, mat engem DMVPN Router kombinéiert ginn. Et ass méiglech (awer net erfuerderlech) Prime Infrastructure Templates fir zentraliséiert Politik Generatioun ze benotzen. Eng wichteg Feature ass datt d'Politik weltwäit am ganze Netz op déiselwecht Manéier geformt gëtt - Individuell Politik fir eenzel Segmenter ginn net ënnerstëtzt.
  • SD WAN - Traffic Gestioun a Qualitéit vum Service Politik sinn zentral duerch d'Cisco vManage grafesch Interface bestëmmt, och iwwer den Internet zougänglech (wann néideg). Si ginn duerch Signalkanal direkt oder indirekt duerch vSmart Controller verdeelt (je no der Aart vun der Politik). Si hänken net vun Daten-Fliger Konnektivitéit tëscht Router, well benotzt all verfügbare Verkéiersweeër tëscht dem Controller an dem Router.

    Fir verschidde Netzwierksegmenter ass et méiglech verschidde Politiken flexibel ze formuléieren - den Ëmfang vun der Politik gëtt vu villen eenzegaartegen Identifizéierer festgeluegt, déi an der Léisung geliwwert ginn - Filialnummer, Uwendungstyp, Verkéiersrichtung, etc.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Orchestratioun-Fliger - Mechanismen déi Komponenten erlaben sech dynamesch géigesäiteg z'entdecken, spéider Interaktiounen ze konfiguréieren an ze koordinéieren.

  • в DMVPN/PfR Géigesäiteg Entdeckung tëscht Router baséiert op der statesch Konfiguratioun vun Hub Apparater an der entspriechend Konfiguratioun vun Spoke Apparater. Dynamesch Entdeckung geschitt nëmme fir Spoke, déi seng Hub Verbindungsparameter un den Apparat bericht, deen am Tour mat Spoke virkonfiguréiert ass. Ouni IP Konnektivitéit tëscht Spoke an op d'mannst een Hub ass et onméiglech entweder en Datefliger oder e Kontrollplan ze bilden.
  • в SD WAN Orchestratioun vu Léisungskomponenten geschitt mat dem vBond Controller, mat deem all Komponent (Router a vManage / vSmart Controller) fir d'éischt IP Konnektivitéit muss etabléieren.

    Am Ufank wëssen d'Komponente net iwwer d'Verbindungsparameter vuneneen - dofir brauche se de vBond-Intermediärorchester. Den allgemenge Prinzip ass wéi follegt - all Komponent an der éischter Phase léiert (automatesch oder statesch) nëmmen iwwer d'Verbindungsparameter op vBond, dann informéiert vBond de Router iwwer d'vManage a vSmart Controller (virdrun entdeckt), wat et méiglech mécht automatesch z'etabléieren. all déi néideg Signalverbindungen.

    De nächste Schrëtt ass fir den neie Router iwwer déi aner Router am Netz ze léieren duerch OMP Kommunikatioun mam vSmart Controller. Sou ass de Router, ouni am Ufank iwwerhaapt iwwer d'Netzparameter ze wëssen, fäeg voll automatesch de Controller z'entdecken an ze verbannen an dann och automatesch Konnektivitéit mat anere Router z'entdecken a bilden. An dësem Fall sinn d'Verbindungsparameter vun alle Komponenten ufanks onbekannt a kënne während der Operatioun änneren.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Gestioun-Fliger - Deel vun der Léisung déi zentraliséiert Gestioun an Iwwerwaachung ubitt.

  • DMVPN/PfR - keng spezialiséiert Gestioun-Fliger Léisung gëtt ugebueden. Fir Basisautomatiséierung an Iwwerwaachung kënne Produkter wéi Cisco Prime Infrastructure benotzt ginn. All Router huet d'Fäegkeet iwwer d'CLI Kommandozeil kontrolléiert ze ginn. Integratioun mat externe Systemer iwwer API gëtt net geliwwert.
  • SD WAN - all reegelméisseg Interaktioun an Iwwerwaachung gëtt zentral duerch d'grafesch Interface vum vManage Controller duerchgefouert. All Fonctiounen vun der Léisung, ouni Ausnam, sinn fir Konfiguratioun duerch vManage, wéi och duerch eng voll dokumentéiert REST API Bibliothéik sinn.

    All SD-WAN Reseau Astellungen am vManage kommen erof op zwee Haaptkonstruktioune - d'Bildung vun Apparat Templates (Device Template) an d'Bildung vun enger Politik déi d'Logik vum Netzbetrib a Verkéiersveraarbechtung bestëmmt. Zur selwechter Zäit, vManage, déi d'Politik, déi vum Administrateur generéiert gëtt, wielt automatesch wéi eng Ännerungen an op wéi eng eenzel Apparater / Controller musse gemaach ginn, wat d'Effizienz an d'Skalierbarkeet vun der Léisung wesentlech erhéicht.

    Duerch d'vManage Interface ass net nëmmen d'Konfiguratioun vun der Cisco SD-WAN Léisung verfügbar, awer och eng voll Iwwerwaachung vum Status vun alle Komponente vun der Léisung, bis zum aktuellen Zoustand vun de Metriken fir eenzel Tunnel a Statistiken iwwer d'Benotzung vu verschiddenen Uwendungen baséiert op DPI Analyse.

    Trotz der Zentraliséierung vun der Interaktioun hunn all Komponenten (Controller a Router) och eng voll funktionell CLI Kommandozeil, déi néideg ass an der Ëmsetzungsstadium oder am Noutfall fir lokal Diagnostik. Am normale Modus (wann et e Signalkanal tëscht Komponente gëtt) op Router, ass d'Kommandozeil nëmme fir Diagnostik verfügbar an ass net verfügbar fir lokal Ännerungen ze maachen, wat lokal Sécherheet garantéiert an déi eenzeg Quell vun Ännerungen an esou engem Netz ass vManage.

Integréiert Sécherheet - Hei sollte mir net nëmmen iwwer de Schutz vun de Benotzerdaten schwätzen wann se iwwer oppe Channels iwwerdroe ginn, awer och iwwer d'allgemeng Sécherheet vum WAN-Netz baséiert op der gewielter Technologie.

  • в DMVPN/PfR Et ass méiglech Benotzerdaten a Signaliséierungsprotokoller ze verschlësselen. Wann Dir bestëmmte Router Modeller benotzt, Firewall Funktiounen mat Verkéier Inspektioun, IPS / IDS sinn zousätzlech sinn. Et ass méiglech Filialnetzwierker mat VRF ze segmentéieren. Et ass méiglech (One-Faktor) Kontrollprotokoller ze authentifizéieren.

    An dësem Fall gëtt de Fernrouter als e vertrauenswürdege Element vum Netz als Standard ugesinn - d.h. Fäll vu kierperleche Kompromëss vun eenzelne Geräter an d'Méiglechkeet vun onerlaabten Zougang zu hinnen ginn net ugeholl oder berécksiichtegt, et gëtt keng Zwee-Faktor Authentifikatioun vu Léisungskomponenten, déi am Fall vun engem geographesch verdeelt Netzwierk; kann bedeitend zousätzlech Risiken droen.

  • в SD WAN Analogie mat DMVPN gëtt d'Fäegkeet fir Benotzerdaten ze verschlësselen, awer mat wesentlech erweiderter Netzwierksécherheet a L3 / VRF Segmentéierungsfunktiounen (Firewall, IPS / IDS, URL Filteren, DNS Filteren, AMP / TG, SASE, TLS / SSL Proxy, etc.) d.). Zur selwechter Zäit gëtt den Austausch vu Verschlësselungsschlësselen méi effizient duerch vSmart Controller duerchgefouert (anstatt direkt), duerch pre-etabléiert Signalkanäl geschützt duerch DTLS / TLS Verschlësselung baséiert op Sécherheetszertifikater. Wat am Tour d'Sécherheet vun esou Austausch garantéiert a besser Skalierbarkeet vun der Léisung bis zu Zéngdausende vun Apparater am selwechte Netz garantéiert.

    All Signalverbindungen (Controller-zu-Controller, Controller-Router) sinn och geschützt baséiert op DTLS / TLS. Router si mat Sécherheetszertifikater während der Produktioun mat der Méiglechkeet vum Ersatz / Extensioun ausgestatt. Zwee-Faktor Authentifikatioun gëtt erreecht duerch déi obligatoresch a simultan Erfëllung vun zwee Konditioune fir de Router / Controller an engem SD-WAN Netz ze funktionéieren:

    • Gülteg Sécherheetszertifika
    • Explizit a bewosst Inklusioun vum Administrateur vun all Komponent an der "wäiss" Lëscht vun erlaabten Apparater.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Funktionell Differenzen tëscht SD-WAN an DMVPN / PfR

Beweegt op eng Diskussioun iwwer funktionell Differenzen, et sollt bemierkt datt vill vun hinnen eng Fortsetzung vun den architektoneschen sinn - et ass kee Geheimnis datt wann d'Architektur vun enger Léisung bilden, Entwéckler ufänken aus de Fäegkeeten, déi se um Enn wëllen kréien . Loosst eis déi bedeitendst Differenzen tëscht den zwou Technologien kucken.

AppQ (Applikatioun Qualitéit) - Funktiounen fir d'Qualitéit vun der Iwwerdroung vum Geschäftsapplikatiounsverkéier ze garantéieren

D'Schlësselfunktioune vun den Technologien déi berécksiichtegt sinn zielen fir d'Benotzererfarung sou vill wéi méiglech ze verbesseren wann Dir Geschäftskritesch Uwendungen an engem verdeelt Netzwierk benotzt. Dëst ass besonnesch wichteg a Bedéngungen, wou en Deel vun der Infrastruktur net vun IT kontrolléiert gëtt oder net emol eng erfollegräich Datenübertragung garantéiert.

DMVPN bitt net selwer esou Mechanismen. Dat Bescht wat an engem klassesche DMVPN Netz ka gemaach ginn ass den ausgaangende Traffic no Applikatioun ze klassifizéieren an et prioritär ze prioritéieren wann se op de WAN Kanal iwwerdroen ginn. D'Wiel vun engem DMVPN Tunnel gëtt an dësem Fall nëmmen duerch seng Disponibilitéit an d'Resultat vun der Operatioun vu Routingprotokoller bestëmmt. Zur selwechter Zäit ginn den Enn-zu-Enn Zoustand vum Wee/Tunnel a seng méiglech partiell Degradatioun net berücksichtegt a punkto Schlësselmetriken déi bedeitend sinn fir Netzwierkapplikatiounen - Verzögerung, Verzögerungsvariatioun (Jitter) a Verloschter (% ). An dëser Hisiicht, vergläicht klassesch DMVPN direkt mat SD-WAN wat d'Léisung vun AppQ Probleemer ugeet, verléiert all Bedeitung - DMVPN kann dëse Problem net léisen. Wann Dir Cisco Performance Routing (PfR) Technologie an dësem Kontext bäidréit, ännert d'Situatioun an de Verglach mat Cisco SD-WAN gëtt méi sënnvoll.

Ier mir d'Ënnerscheeder diskutéieren, hei ass e séiere Bléck op wéi d'Technologien ähnlech sinn. Also, béid Technologien:

  • hunn e Mechanismus deen Iech erlaabt dynamesch den Zoustand vun all etabléierten Tunnel a punkto bestëmmte Metriken ze bewäerten - op e Minimum, Verzögerung, Verzögerungsvariatioun a Paketverloscht (%)
  • Benotzt e spezifesche Set vun Tools fir Verkéiersmanagementregelen (Politik) ze bilden, ze verdeelen an z'applizéieren, andeems d'Resultater vun der Miessung vum Zoustand vun de Schlësseltunnelmetriken berécksiichtegt ginn.
  • klassifizéieren Applikatiounsverkéier op Niveauen L3-L4 (DSCP) vum OSI Modell oder duerch L7 Applikatiounssignaturen baséiert op DPI Mechanismen, déi am Router agebaut sinn
  • Fir bedeitend Uwendungen erlaaben se Iech akzeptabel Schwellwäerter vu Metriken ze bestëmmen, Regele fir de Traffic als Standard ze vermëttelen, a Regele fir de Verkéier ëmzebréngen wann d'Schwellwäerter iwwerschratt ginn.
  • Wann Dir de Traffic an GRE / IPSec encapsuléiert, benotze se de schonn etabléierten Industriemechanismus fir intern DSCP Marquage op den externen GRE / IPSEC Packet Header ze transferéieren, wat et erlaabt d'QoS Politik vun der Organisatioun an dem Telekomoperateur ze synchroniséieren (wann et e passende SLA gëtt) .

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

Wéi ënnerscheede SD-WAN an DMVPN / PfR End-to-End Metriken?

DMVPN/PfR

  • Béid aktiv a passiv Software Sensoren (Sonden) gi benotzt fir Standard Tunnelgesondheetsmetriken ze evaluéieren. Aktive baséieren op de Benotzerverkéier, passive emuléieren esou Traffic (a senger Verontreiung).
  • Et gëtt keng Feintuning vun Timer an Degradatiounserkennungsbedéngungen - den Algorithmus ass fixéiert.
  • Zousätzlech ass d'Messung vun der gebrauchter Bandbreedung an der erausgaang Richtung verfügbar. Wat zousätzlech Verkéiersmanagement Flexibilitéit fir DMVPN / PfR bäidréit.
  • Zur selwechter Zäit vertrauen e puer PfR-Mechanismen, wann d'Metriken iwwerschratt ginn, op Feedback-Signalisatioun a Form vu speziellen TCA (Threshold Crossing Alert) Messagen, déi vum Trafficempfänger an d'Quell kommen mussen, déi dann ugeholl datt den Zoustand vun der gemooss Channels sollen op d'mannst genuch sinn fir Transmissioun vun esou TCA Messagen. Wat an deene meeschte Fäll kee Problem ass, awer selbstverständlech net garantéiert ass.

SD WAN

  • Fir Enn-zu-Enn Evaluatioun vun Standard Tunnel Staat Metriken, gëtt de BFD Protokoll am Echo Modus benotzt. An dësem Fall ass speziell Feedback a Form vun TCA oder ähnlechen Messagen net erfuerderlech - Isolatioun vu Feelerberäicher gëtt behalen. Et erfuerdert och net d'Präsenz vum Benotzerverkéier fir den Tunnelzoustand ze evaluéieren.
  • Et ass méiglech BFD Timer ze feinjustéieren fir d'Äntwertgeschwindegkeet an d'Sensibilitéit vum Algorithmus op d'Degradatioun vum Kommunikatiounskanal vun e puer Sekonnen op Minutten ze regelen.

    Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

  • Zu der Zäit vum Schreiwen gëtt et nëmmen eng BFD Sessioun an all Tunnel. Dëst erstellt potenziell manner Granularitéit an der Tunnelstaatanalyse. A Wierklechkeet kann dëst nëmmen eng Begrenzung ginn wann Dir eng WAN Verbindung baséiert op MPLS L2 / L3 VPN mat engem ausgemaach QoS SLA benotzt - wann d'DSCP Marquage vum BFD Traffic (no der Verschlësselung an IPSec / GRE) entsprécht der héich Prioritéit Schlaang an den Telekomoperateur Netzwierk, da kann dëst d'Genauegkeet an d'Geschwindegkeet vun der Degradatiounserkennung fir niddereg-Prioritéit Verkéier beaflossen. Zur selwechter Zäit ass et méiglech d'Standard-BFD-Etikettéierung z'änneren fir de Risiko vun esou Situatiounen ze reduzéieren. An zukünfteg Versioune vu Cisco SD-WAN Software ginn méi fein-gestëmmte BFD Astellungen erwaart, souwéi d'Fäegkeet fir verschidde BFD Sessiounen am selwechten Tunnel mat individuellen DSCP Wäerter (fir verschidden Uwendungen) ze starten.
  • BFD erlaabt Iech zousätzlech déi maximal Paketgréisst ze schätzen déi duerch e bestëmmten Tunnel ouni Fragmentatioun iwwerdroe ka ginn. Dëst erlaabt SD-WAN dynamesch Parameteren wéi MTU an TCP MSS Adjust unzepassen fir déi meescht verfügbar Bandbreedung op all Link ze maachen.
  • Am SD-WAN ass d'Optioun vu QoS Synchroniséierung vu Telekomoperateuren och verfügbar, net nëmmen op L3 DSCP Felder baséiert, awer och baséiert op L2 CoS Wäerter, déi automatesch am Filialnetz vu spezialiséierten Apparater generéiert kënne ginn - zum Beispill IP Handyen

Wéi ënnerscheede sech d'Fäegkeeten, d'Methoden fir d'AppQ Politik ze definéieren an z'applizéieren?

DMVPN/PfR Politiken:

  • Definéiert op den zentrale Branche Router (en) iwwer d'CLI Kommandozeil oder CLI Konfiguratiounsschabloune. CLI Templates ze generéieren erfuerdert Virbereedung a Wëssen iwwer Politiksyntax.

    Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

  • Global definéiert ouni d'Méiglechkeet vun individuell Configuratioun / Ännerung un d'Ufuerderunge vun eenzelne Reseau Segmenter.
  • Interaktiv Politik Generatioun gëtt net an der grafescher Interface geliwwert.
  • Tracking Ännerungen, Ierfschaft, a verschidde Versioune vu Politiken erstellen fir séier ze wiesselen ginn net zur Verfügung gestallt.
  • Automatesch op Router vu Fernzweige verdeelt. An dësem Fall ginn déiselwecht Kommunikatiounskanäle benotzt wéi fir d'Iwwerdroung vun Benotzerdaten. Wann et kee Kommunikatiounskanal tëscht dem Zentral- a Fernzweig gëtt, ass d'Verdeelung / Ännerung vun der Politik onméiglech.
  • Si ginn op all Router benotzt an, wann néideg, d'Resultat vun Standard Routing Protokoller änneren, mat enger méi héijer Prioritéit.
  • Fir Fäll wou all Filial WAN Linke bedeitende Verkéiersverloscht erliewen, keng Kompensatioun Mechanismen gëtt.

SD-WAN Politiken:

  • Definéiert an der vManage GUI duerch den interaktiven Template Wizard.
  • Ënnerstëtzt verschidde Politiken ze kreéieren, kopéieren, ierwen, wiesselen tëscht Politiken an Echtzäit.
  • Ënnerstëtzt individuell Politik Astellunge fir verschidde Netzwierksegmenter (Branchen)
  • Si gi mat all verfügbare Signalkanal tëscht dem Controller an dem Router an / oder vSmart verdeelt - hänken net direkt vun der Dateplane Konnektivitéit tëscht de Router of. Dëst erfuerdert natierlech IP Konnektivitéit tëscht dem Router selwer an de Controller.

    Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

  • Fir Fäll wou all verfügbare Filialen vun enger Branche bedeitend Dateverloscht erliewen, déi akzeptabel Schwelle fir kritesch Uwendungen iwwerschreiden, ass et méiglech zousätzlech Mechanismen ze benotzen déi d'Transmissiounszouverlässegkeet erhéijen:
    • FEC (Forward Error Correction) - benotzt e spezielle redundante Kodéierungsalgorithmus. Wann Dir kritesch Traffic iwwer Kanäl mat engem wesentleche Prozentsaz vu Verloschter vermëttelt, kann FEC automatesch aktivéiert ginn an erlaabt, wann néideg, de verluerene Deel vun den Donnéeën ze restauréieren. Dëst erhéicht liicht déi benotzten Iwwerdroungsbandbreedung, awer verbessert d'Zouverlässegkeet wesentlech.

      Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

    • Duplikatioun vun Datestroum - Zousätzlech zu FEC, kann d'Politik fir automatesch Duplikatioun vum Traffic vun ausgewielten Uwendungen am Fall vun engem nach méi schlëmmen Verloschterniveau virgesi sinn, deen net vum FEC kompenséiert ka ginn. An dësem Fall ginn déi gewielte Donnéeën duerch all Tunnel a Richtung Empfangszweig mat spéider De-Duplikatioun iwwerdroen (extra Kopie vu Pakete erofsetzen). De Mechanismus erhéicht d'Kanalnutzung wesentlech, awer erhéicht och d'Transmissiounszouverlässegkeet wesentlech.

Cisco SD-WAN Kënnen, ouni direkt Analoga an DMVPN / PfR

D'Architektur vun der Cisco SD-WAN Léisung erlaabt Iech an e puer Fäll Fäegkeeten ze kréien, déi entweder extrem schwiereg sinn an DMVPN / PfR ëmzesetzen, oder onpraktesch sinn wéinst den erfuerderlechen Aarbechtskäschte oder komplett onméiglech sinn. Loosst eis déi interessantst vun hinnen kucken:

Traffic Engineering (TE)

TE enthält Mechanismen, déi de Traffic erlaben de Standardwee geformt duerch Routingprotokollen ofzeschwätzen. TE gëtt dacks benotzt fir eng héich Disponibilitéit vun Netzwierkservicer ze garantéieren, duerch d'Fäegkeet fir kritesch Traffic séier an / oder proaktiv op en alternativen (disjoint) Iwwerdroungswee ze transferéieren, fir eng besser Qualitéit vum Service oder Geschwindegkeet vun der Erhuelung am Fall vun engem Feeler ze garantéieren um Haaptwee.

D'Schwieregkeet bei der Ëmsetzung vun TE läit an der Bedierfnes fir en alternativen Wee am Viraus ze berechnen an ze reservéieren (iwwerpréiwen). An MPLS Netzwierker vun Telekomoperateuren gëtt dëse Problem mat Technologien geléist wéi MPLS Traffic-Engineering mat Extensiounen vun den IGP Protokoller an RSVP Protokoll. Och viru kuerzem ass Segment Routing Technologie, déi méi optimiséiert ass fir zentraliséiert Konfiguratioun an Orchestratioun, ëmmer méi populär ginn. A klassesche WAN Netzwierker sinn dës Technologien normalerweis net vertrueden oder si reduzéiert op d'Benotzung vun Hop-by-Hop Mechanismen wéi Policy-Based Routing (PBR), déi fäeg sinn Traffic ze verzweifelen, awer dëst op all Router separat implementéieren - ouni ze huelen berücksichtegt de Gesamtzoustand vum Netz oder PBR Resultat an de virdrun oder spéider Schrëtt. D'Resultat vun der Benotzung vun dësen TE Optiounen ass enttäuschend - MPLS TE, wéinst der Komplexitéit vun der Konfiguratioun an der Operatioun, gëtt als Regel nëmmen am kriteschen Deel vum Netz (Kär) benotzt, an PBR gëtt op eenzel Router benotzt ouni d'Fäegkeet fir eng vereenegt PBR-Politik fir de ganzen Netz ze kreéieren. Natierlech gëllt dëst och fir DMVPN-baséiert Netzwierker.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

SD-WAN an dëser Hisiicht bitt eng vill méi elegant Léisung déi net nëmmen einfach ze konfiguréieren ass, awer och vill besser skaléiert. Dëst ass e Resultat vun de benotzte Kontrollplane a Politikplanearchitekturen. D'Ëmsetzung vun engem Politik-Fliger am SD-WAN erlaabt Iech zentral TE Politik ze definéieren - wéi eng Traffic ass interessant? fir wéi eng VPNs? Duerch wéi eng Noden/Tunnel ass et néideg oder ëmgekéiert verbueden eng alternativ Streck ze bilden? D'Zentraliséierung vun der Kontrollplanemanagement baséiert op vSmart Controller erlaabt Iech d'Routingresultater z'änneren ouni op d'Astellunge vun eenzelne Geräter ze réckelen - Router gesinn schonn nëmmen d'Resultat vun der Logik, déi an der vManage Interface generéiert gouf an iwwerdroe fir ze benotzen. vSmart.

Service-chaining

D'Formatioun vu Serviceketten ass eng nach méi Aarbechtsintensiv Aufgab am klassesche Routing wéi de scho beschriwwene Traffic-Engineering Mechanismus. Tatsächlech, an dësem Fall ass et néideg net nëmmen e spezielle Wee fir eng spezifesch Netzwierkapplikatioun ze kreéieren, awer och d'Fäegkeet ze garantéieren fir de Traffic aus dem Netz op bestëmmten (oder all) Wirbelen vum SD-WAN Netz fir d'Veraarbechtung ze läschen eng speziell Applikatioun oder Service (Firewall, Balance, Caching, Inspektioun Verkéier, etc.). Zur selwechter Zäit ass et néideg, den Zoustand vun dësen externe Servicer ze kontrolléieren fir schwaarz-Holing Situatiounen ze vermeiden, a Mechanismen sinn och gebraucht, déi et erlaben datt esou extern Servicer vun der selwechter Aart a verschiddene Geo-Locations placéiert ginn. mat der Fäegkeet vum Netz fir automatesch den optimalsten Serviceknuet ze wielen fir de Traffic vun enger bestëmmter Branche ze veraarbecht. Am Fall vu Cisco SD-WAN ass dëst zimmlech einfach z'erreechen andeems Dir eng entspriechend zentraliséiert Politik erstellt, déi all Aspekter vun der Zilservicekette an een eenzegt Ganzt "kleeft" an automatesch d'Dateplane a Kontrollplane Logik ännert nëmmen wou a wann néideg.

Wäert Cisco SD-WAN d'Branche ofschneiden op där den DMVPN sëtzt?

D'Kapazitéit fir geo-verdeelt Veraarbechtung vum Traffic vun ausgewielten Aarte vun Uwendungen an enger bestëmmter Sequenz op spezialiséierter (awer net am Zesummenhang mam SD-WAN Netz selwer) Ausrüstung ze kreéieren ass vläicht déi kloerst Demonstratioun vun de Virdeeler vum Cisco SD-WAN iwwer klassesch Technologien a souguer e puer alternativ SD Léisungen -WAN vun aneren Hiersteller.

Wat am Ende?

Natierlech, souwuel DMVPN (mat oder ouni Performance Routing) a Cisco SD-WAN endlech ganz ähnlech Problemer ze léisen a Relatioun zu der verdeelt WAN Reseau vun der Organisatioun. Zur selwechter Zäit féieren bedeitend architektonesch a funktionell Differenzen an der Cisco SD-WAN Technologie zum Prozess fir dës Probleemer ze léisen op en anere Qualitéitsniveau. Fir ze resuméieren, kënne mir déi folgend bedeitend Differenzen tëscht SD-WAN an DMVPN / PfR Technologien notéieren:

  • DMVPN / PfR am Allgemengen benotzt Zäit-getest Technologien fir Iwwerlagerung VPN Netzwierker ze bauen an, wat d'Dateplang ugeet, sinn ähnlech wéi méi modern SD-WAN Technologie, awer et ginn eng Zuel vu Aschränkungen a Form vun enger obligatorescher statescher Konfiguratioun vu Router an d'Wiel vun Topologien ass limitéiert op Hub-n-Spoke. Op der anerer Säit huet DMVPN / PfR e puer Funktionalitéit déi nach net bannent SD-WAN verfügbar ass (mir schwätzen iwwer Per-Applikatioun BFD).
  • Am Kontrollplang ënnerscheede sech d'Technologien grondsätzlech. Mat der zentraliséierter Veraarbechtung vu Signalprotokoller berücksichtegt, erlaabt SD-WAN, besonnesch, däitlech schmuel Versoen Domainen an "decouple" de Prozess vun Iwwerdroung vum Benotzer Traffic aus Signal Interaktioun - temporär Onverfügbarkeet vu Controller beaflosst net d'Fäegkeet fir de Benotzerverkéier ze vermëttelen . Zur selwechter Zäit beaflosst d'temporär Onverfügbarkeet vun all Branche (inklusiv der zentraler) op kee Fall d'Fäegkeet vun anere Branchen fir mateneen a Controller ze interagéieren.
  • D'Architektur fir d'Bildung an d'Uwendung vu Verkéiersmanagement Politiken am Fall vun SD-WAN ass och besser wéi déi am DMVPN / PfR - Geo-Reservatioun ass vill besser ëmgesat, et gëtt keng Verbindung zum Hub, et gi méi Méiglechkeete fir Geldstrofen -tuning Politik, d'Lëscht vun ëmgesat Verkéier Gestioun Szenarie ass och vill méi grouss.
  • De Léisungsorchesterprozess ass och wesentlech anescht. DMVPN iwwerhëlt d'Präsenz vu virdru bekannte Parameteren, déi iergendwéi an der Konfiguratioun reflektéiert musse ginn, wat d'Flexibilitéit vun der Léisung an d'Méiglechkeet vun dynamesche Verännerungen e bësse limitéiert. Am Géigesaz, baséiert SD-WAN op dem Paradigma datt de Router am éischte Moment vun der Verbindung "näischt weess" iwwer seng Controller, awer weess "wien Dir froe kënnt" - dat ass genuch net nëmmen fir automatesch Kommunikatioun mat d'Controller, awer och fir automatesch eng komplett verbonne Dateplantopologie ze bilden, déi dann flexibel konfiguréiert / geännert kënne ginn mat Politiken.
  • Wat d'zentraliséiert Gestioun, d'Automatisatioun an d'Iwwerwaachung ugeet, gëtt erwaart datt SD-WAN d'Fäegkeeten vun DMVPN / PfR iwwerschreift, déi aus klassesch Technologien evoluéiert hunn a méi staark op der CLI Kommandozeil an d'Benotzung vun Template-baséiert NMS Systemer vertrauen.
  • Am SD-WAN, am Verglach zum DMVPN, hunn d'Sécherheetsfuerderunge en anere qualitative Niveau erreecht. D'Haaptprinzipien sinn Null Vertrauen, Skalierbarkeet an Zwee-Faktor Authentifikatioun.

Dës einfache Conclusiounen kënnen de falschen Androck ginn, datt d'Schafe vun engem Netzwierk baséiert op DMVPN / PfR haut all Relevanz verluer huet. Dëst ass natierlech net ganz richteg. Zum Beispill, a Fäll wou d'Netzwierk vill ausgeräiften Ausrüstung benotzt an et kee Wee ass et ze ersetzen, kann DMVPN Iech erlaben "al" an "nei" Apparater an engem eenzegen geo-verdeelte Netzwierk mat ville vun de beschriwwenen Virdeeler ze kombinéieren. uewen.

Op der anerer Säit sollt et drun erënneren datt all aktuell Cisco Firmenrouter baséiert op IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) haut all Betribsmodus ënnerstëtzen - souwuel klassesch Routing wéi DMVPN an SD-WAN - d'Wiel gëtt vun aktuellen Bedierfnesser festgeluegt an dem Verständnis datt Dir zu all Moment mat derselwechter Ausrüstung kënnt ufänken a Richtung méi fortgeschratt Technologie ze plënneren.

Source: will.com

Setzt e Commentaire