🥇Vai Cisco nogriezīs SD-WAN atzaru, uz kura atrodas DMVPN?

Kopš 2017. gada augusta, kad Cisco iegādājās Viptela, galvenā piedāvātā tehnoloģija izplatīto uzņēmumu tīklu organizēšanai ir kļuvusi Cisco SD-WAN. Pēdējo 3 gadu laikā SD-WAN tehnoloģija ir piedzīvojusi daudzas izmaiņas gan kvalitatīvi, gan kvantitatīvi. Tādējādi funkcionalitāte ir ievērojami paplašinājusies un ir parādījies atbalsts sērijas klasiskajiem maršrutētājiem Cisco ISR 1000, ISR 4000, ASR 1000 un Virtual CSR 1000v. Tajā pašā laikā daudzi Cisco klienti un partneri turpina brīnīties: kādas ir atšķirības starp Cisco SD-WAN un jau pazīstamajām pieejām, kuru pamatā ir tādas tehnoloģijas kā Cisco DMVPN и Cisco veiktspējas maršrutēšana un cik svarīgas ir šīs atšķirības?

Šeit mums nekavējoties jāizdara atruna, ka pirms SD-WAN parādīšanās Cisco portfelī DMVPN kopā ar PfR veidoja galveno arhitektūras daļu. Cisco IWAN (inteliģentais WAN), kas savukārt bija pilnvērtīgas SD-WAN tehnoloģijas priekštecis. Neskatoties uz risināmo uzdevumu un to risināšanas metožu vispārējo līdzību, IWAN nekad nav saņēmis SD-WAN nepieciešamo automatizācijas, elastības un mērogojamības līmeni, un laika gaitā IWAN attīstība ir ievērojami samazinājusies. Tajā pašā laikā tehnoloģijas, kas veido IWAN, nav pazudušas, un daudzi klienti turpina tās veiksmīgi izmantot, tostarp modernās iekārtās. Rezultātā ir izveidojusies interesanta situācija - viena un tā pati Cisco iekārta ļauj izvēlēties piemērotāko WAN tehnoloģiju (classic, DMVPN+PfR vai SD-WAN) atbilstoši klientu prasībām un vēlmēm.

Rakstā nav paredzēts detalizēti analizēt visas Cisco SD-WAN un DMVPN tehnoloģiju funkcijas (ar vai bez veiktspējas maršrutēšanas) - šim nolūkam ir pieejams milzīgs daudzums dokumentu un materiālu. Galvenais uzdevums ir mēģināt novērtēt galvenās atšķirības starp šīm tehnoloģijām. Bet pirms pāriet uz šo atšķirību apspriešanu, īsi atcerēsimies pašas tehnoloģijas.

Kas ir Cisco DMVPN un kāpēc tas ir vajadzīgs?

Cisco DMVPN atrisina attālā filiāļu tīkla dinamiska (= mērogojama) savienojuma ar uzņēmuma centrālā biroja tīklu problēmu, izmantojot patvaļīgus sakaru kanālu veidus, tostarp internetu (= ar sakaru kanāla šifrēšanu). Tehniski tas tiek realizēts, izveidojot virtualizētu L3 VPN klases pārklājuma tīklu point-to-multipoint režīmā ar loģisku “Star” tipa topoloģiju (Hub-n-Spoke). Lai to panāktu, DMVPN izmanto šādu tehnoloģiju kombināciju:

IP maršrutēšana
Daudzpunktu GRE tuneļi (mGRE)
Next Hop Resolution Protocol (NHRP)
IPSec Crypto profili

Kādas ir galvenās Cisco DMVPN priekšrocības salīdzinājumā ar klasisko maršrutēšanu, izmantojot MPLS VPN kanālus?

Lai izveidotu starpnozaru tīklu, ir iespējams izmantot jebkurus sakaru kanālus - ir piemērots jebkas, kas var nodrošināt IP savienojamību starp filiālēm, savukārt trafiks tiks šifrēts (kur nepieciešams) un līdzsvarots (kur iespējams)
Automātiski tiek izveidota pilnībā savienota topoloģija starp zariem. Tajā pašā laikā starp centrālajiem un attālajiem atzariem ir statiski tuneļi, bet starp attālajiem atzariem pēc pieprasījuma ir dinamiski tuneļi (ja ir satiksme).
Centrālās un attālās filiāles maršrutētājiem ir vienāda konfigurācija līdz interfeisu IP adresēm. Izmantojot mGRE, nav nepieciešams individuāli konfigurēt desmitiem, simtiem vai pat tūkstošiem tuneļu. Rezultātā pienācīga mērogojamība ar pareizo dizainu.

Kas ir Cisco veiktspējas maršrutēšana un kāpēc tas ir vajadzīgs?

Izmantojot DMVPN starpnozaru tīklā, neatrisināts paliek viens ārkārtīgi būtisks jautājums - kā dinamiski novērtēt katra DMVPN tuneļa stāvokli, lai tas atbilstu mūsu organizācijai kritiskajām satiksmes prasībām un atkal, pamatojoties uz šādu novērtējumu, dinamiski veikt. lēmums par maršruta maiņu? Fakts ir tāds, ka DMVPN šajā daļā maz atšķiras no klasiskās maršrutēšanas - labākais, ko var izdarīt, ir konfigurēt QoS mehānismus, kas ļaus noteikt prioritāti trafikam izejošā virzienā, bet nekādā gadījumā nevar ņemt vērā visu ceļu vienā vai otrā reizē.

Un ko darīt, ja kanāls degradējas daļēji, nevis pilnībā - kā to atklāt un novērtēt? DMVPN pats to nevar izdarīt. Ņemot vērā, ka kanāli, kas savieno filiāles, var iziet cauri pilnīgi dažādiem telekomunikāciju operatoriem, izmantojot pilnīgi atšķirīgas tehnoloģijas, šis uzdevums kļūst ārkārtīgi nenozīmīgs. Un šeit palīgā nāk Cisco Performance Routing tehnoloģija, kas līdz tam laikam jau bija izgājusi vairākus attīstības posmus.

Cisco Performance Routing (turpmāk PfR) uzdevums ir izmērīt trafika ceļu (tuneļu) stāvokli, pamatojoties uz galvenajiem tīkla lietojumprogrammām svarīgiem rādītājiem. latentums, latentuma izmaiņas (trīce) un pakešu zudumi (procentos). Turklāt var izmērīt izmantoto joslas platumu. Šie mērījumi notiek pēc iespējas tuvāk reālajam laikam un pamatoti, un šo mērījumu rezultāts ļauj maršrutētājam, kas izmanto PfR, dinamiski pieņemt lēmumus par nepieciešamību mainīt tā vai cita veida trafika maršrutēšanu.

Tādējādi DMVPN / PfR kombinācijas uzdevumu var īsi aprakstīt šādi:

Ļaujiet klientam izmantot jebkurus sakaru kanālus WAN tīklā
Nodrošiniet augstāko iespējamo kritisko lietojumprogrammu kvalitāti šajos kanālos

Kas ir Cisco SD-WAN?

Cisco SD-WAN ir tehnoloģija, kas izmanto SDN pieeju, lai izveidotu un darbinātu organizācijas WAN tīklu. Tas jo īpaši nozīmē tā saukto kontrolieru (programmatūras elementu) izmantošanu, kas nodrošina visu risinājuma komponentu centralizētu orķestrēšanu un automatizētu konfigurāciju. Atšķirībā no kanoniskā SDN (Clean Slate style), Cisco SD-WAN izmanto vairāku veidu kontrolierus, no kuriem katrs veic savu lomu - tas tika darīts ar nolūku, lai nodrošinātu labāku mērogojamību un ģeogrāfisko atlaišanu.

SD-WAN gadījumā uzdevums izmantot jebkāda veida kanālus un nodrošināt biznesa aplikāciju darbību paliek nemainīgs, taču tajā pašā laikā paplašinās prasības šāda tīkla automatizācijai, mērogojamībai, drošībai un elastībai.

Atšķirību diskusija

Ja mēs tagad sāksim analizēt atšķirības starp šīm tehnoloģijām, tās iedalīsies kādā no šīm kategorijām:

Arhitektūras atšķirības – kā funkcijas tiek sadalītas pa dažādiem risinājuma komponentiem, kā tiek organizēta šādu komponentu mijiedarbība un kā tas ietekmē tehnoloģijas iespējas un elastību?
Funkcionalitāte – ko viena tehnoloģija var darīt, ko cita nespēj? Un vai tas tiešām ir tik svarīgi?

Kādas ir arhitektūras atšķirības un vai tās ir svarīgas?

Katrai no šīm tehnoloģijām ir daudz “kustīgo daļu”, kas atšķiras ne tikai ar savām lomām, bet arī to, kā tās mijiedarbojas savā starpā. Cik labi šie principi ir pārdomāti un risinājuma vispārējā mehānika tieši nosaka tā mērogojamību, kļūdu toleranci un kopējo efektivitāti.

Apskatīsim dažādus arhitektūras aspektus sīkāk:

Datu plakne – daļa no risinājuma, kas atbild par lietotāja trafika pārsūtīšanu starp avotu un saņēmēju. DMVPN un SD-WAN parasti tiek ieviesti identiski pašos maršrutētājos, pamatojoties uz daudzpunktu GRE tuneļiem. Atšķirība ir tā, kā tiek veidots nepieciešamais parametru kopums šiem tuneļiem:

в DMVPN/PfR ir tikai divu līmeņu mezglu hierarhija ar Star vai Hub-n-Spoke topoloģiju. Nepieciešama statiskā centrmezgla konfigurācija un statiskā Spoke saistīšana ar centrmezglu, kā arī mijiedarbība, izmantojot NHRP protokolu, lai izveidotu datu plaknes savienojumu. Sekojoši, ievērojami apgrūtinot izmaiņas centrmezglākas saistīti, piemēram, ar jaunu WAN kanālu maiņu/pieslēgšanu vai esošo parametru maiņu.
в SD WAN ir pilnībā dinamisks modelis uzstādīto tuneļu parametru noteikšanai, pamatojoties uz vadības plakni (OMP protokols) un orķestrēšanas plakni (mijiedarbība ar vBond kontrolleri kontroliera noteikšanai un NAT šķērsošanas uzdevumiem). Šajā gadījumā var izmantot jebkuras virskārtas topoloģijas, ieskaitot hierarhiskas. Izveidotās pārklājuma tuneļa topoloģijas ietvaros ir iespējama elastīga loģiskās topoloģijas konfigurācija katrā atsevišķā VPN (VRF).

Vadības plakne – maršrutēšanas un citas informācijas apmaiņas, filtrēšanas un modifikācijas funkcijas starp risinājuma komponentiem.

в DMVPN/PfR – tiek veikta tikai starp Hub un Spoke maršrutētājiem. Tieša maršrutēšanas informācijas apmaiņa starp spieķiem nav iespējama. Sekojoši, Bez funkcionējoša centrmezgla vadības plakne un datu plakne nevar darboties, kas centrmezglam uzliek papildu augstas pieejamības prasības, kuras ne vienmēr var izpildīt.
в SD WAN - vadības plakne nekad netiek veikta tieši starp maršrutētājiem - mijiedarbība notiek, pamatojoties uz OMP protokolu un obligāti tiek veikta, izmantojot atsevišķu specializētu vSmart kontrollera veidu, kas nodrošina iespēju līdzsvarot, ģeogrāfiski rezervēt un centralizēti kontrolēt signāla slodze. Vēl viena OMP protokola iezīme ir tā ievērojamā izturība pret zaudējumiem un neatkarība no sakaru kanāla ātruma ar kontrolieriem (protams, saprātīgās robežās). Kas vienlīdz veiksmīgi ļauj izvietot SD-WAN kontrolierus publiskos vai privātos mākoņos ar piekļuvi caur internetu.

Politikas plāns – daļa no risinājuma, kas atbild par trafika pārvaldības politiku definēšanu, izplatīšanu un piemērošanu izplatītajā tīklā.

DMVPN – to efektīvi ierobežo pakalpojuma kvalitātes (QoS) politikas, kas katrā maršrutētājā konfigurētas atsevišķi, izmantojot CLI vai Prime Infrastructure veidnes.
DMVPN/PfR – PfR politikas tiek veidotas centralizētajā galvenā kontrollera (MC) maršrutētājā, izmantojot CLI, un pēc tam automātiski izplatītas filiāles MC. Šajā gadījumā tiek izmantoti tie paši politikas pārsūtīšanas ceļi kā datu plaknei. Nav iespējas nodalīt politiku, maršrutēšanas informācijas un lietotāja datu apmaiņu. Politikas izplatīšanai ir nepieciešams IP savienojuma klātbūtne starp centrmezglu un spoku. Šajā gadījumā MC funkciju vajadzības gadījumā var apvienot ar DMVPN maršrutētāju. Ir iespējams (bet nav obligāti) izmantot Prime Infrastructure veidnes centralizētai politikas ģenerēšanai. Svarīga iezīme ir tāda, ka politika visā tīklā tiek veidota globāli vienādi - Atsevišķas politikas atsevišķiem segmentiem netiek atbalstītas.
SD WAN – trafika pārvaldība un pakalpojumu kvalitātes politikas tiek noteiktas centralizēti caur Cisco vManage grafisko interfeisu, kas pieejams arī caur internetu (ja nepieciešams). Tie tiek izplatīti pa signalizācijas kanāliem tieši vai netieši, izmantojot vSmart kontrollerus (atkarībā no politikas veida). Tie nav atkarīgi no datu plaknes savienojamības starp maršrutētājiem, jo izmantojiet visus pieejamos satiksmes ceļus starp kontrolieri un maršrutētāju.
Dažādiem tīkla segmentiem iespējams elastīgi formulēt dažādas politikas - politikas apjomu nosaka daudzi unikāli risinājumā sniegtie identifikatori - filiāles numurs, aplikācijas veids, satiksmes virziens u.c.

Orķestrācija-plakne – mehānismi, kas ļauj komponentiem dinamiski atklāt vienam otru, konfigurēt un koordinēt turpmākās mijiedarbības.

в DMVPN/PfR Maršrutētāju savstarpējās atklāšanas pamatā ir centrmezgla ierīču statiskā konfigurācija un atbilstošā Spoke ierīču konfigurācija. Dinamiskā atklāšana notiek tikai Spoke, kas ziņo par saviem centrmezgla savienojuma parametriem ierīcei, kas savukārt ir iepriekš konfigurēta ar Spoke. Bez IP savienojuma starp Spoke un vismaz vienu centrmezglu nav iespējams izveidot ne datu plakni, ne vadības plakni.
в SD WAN risinājuma komponentu orķestrēšana notiek, izmantojot vBond kontrolleri, ar kuru katram komponentam (maršrutētāji un vManage/vSmart kontrolleri) vispirms ir jāizveido IP savienojums.
Sākotnēji komponenti nezina viens par otra savienojuma parametriem - šim nolūkam viņiem ir nepieciešams vBond starpnieksorķestris. Vispārējais princips ir šāds - katrs komponents sākuma fāzē apgūst (automātiski vai statiski) tikai par savienojuma parametriem vBond, pēc tam vBond informē maršrutētāju par vManage un vSmart kontrolleriem (atklāti iepriekš), kas ļauj automātiski izveidot visi nepieciešamie signalizācijas savienojumi.

Nākamais solis ir jaunajam maršrutētājam uzzināt par citiem maršrutētājiem tīklā, izmantojot OMP saziņu ar vSmart kontrolleri. Tādējādi maršrutētājs, sākotnēji vispār neko nezinot par tīkla parametriem, spēj pilnībā automātiski noteikt un izveidot savienojumu ar kontrolieriem un pēc tam arī automātiski noteikt un veidot savienojumu ar citiem maršrutētājiem. Šajā gadījumā visu komponentu savienojuma parametri sākotnēji nav zināmi un darbības laikā var mainīties.

Vadības plakne – daļa no risinājuma, kas nodrošina centralizētu pārvaldību un uzraudzību.

DMVPN/PfR – netiek nodrošināts specializēts vadības plaknes risinājums. Pamata automatizācijai un uzraudzībai var izmantot tādus produktus kā Cisco Prime Infrastructure. Katru maršrutētāju var vadīt, izmantojot CLI komandrindu. Integrācija ar ārējām sistēmām, izmantojot API, netiek nodrošināta.
SD WAN – visa regulārā mijiedarbība un uzraudzība tiek veikta centralizēti, izmantojot vManage kontrollera grafisko interfeisu. Visas risinājuma funkcijas bez izņēmuma ir pieejamas konfigurēšanai, izmantojot vManage, kā arī pilnībā dokumentētu REST API bibliotēku.
Visi SD-WAN tīkla iestatījumi vManage ir saistīti ar divām galvenajām konstrukcijām - ierīču veidņu (Device Template) veidošanu un politikas veidošanu, kas nosaka tīkla darbības un trafika apstrādes loģiku. Tajā pašā laikā vManage, pārraidot administratora ģenerēto politiku, automātiski atlasa, kuras izmaiņas un kurās atsevišķās ierīcēs/kontrolleros jāveic, kas būtiski palielina risinājuma efektivitāti un mērogojamību.

Izmantojot vManage interfeisu, ir pieejama ne tikai Cisco SD-WAN risinājuma konfigurācija, bet arī pilnīga visu risinājuma komponentu statusa uzraudzība līdz pat atsevišķu tuneļu metrikas pašreizējam stāvoklim un dažādu lietojumprogrammu izmantošanas statistikai. pamatojoties uz DPI analīzi.

Neskatoties uz mijiedarbības centralizāciju, visiem komponentiem (kontrolleriem un maršrutētājiem) ir arī pilnībā funkcionējoša CLI komandrinda, kas nepieciešama ieviešanas stadijā vai avārijas gadījumā vietējai diagnostikai. Normālā režīmā (ja starp komponentiem ir signalizācijas kanāls) maršrutētājos komandrinda ir pieejama tikai diagnostikai un nav pieejama lokālu izmaiņu veikšanai, kas garantē lokālo drošību un vienīgais izmaiņu avots šādā tīklā ir vManage.

Integrētā drošība – šeit jārunā ne tikai par lietotāja datu aizsardzību, kad tie tiek pārraidīti pa atvērtiem kanāliem, bet arī par kopējo WAN tīkla drošību, pamatojoties uz izvēlēto tehnoloģiju.

в DMVPN/PfR Ir iespējams šifrēt lietotāja datus un signalizācijas protokolus. Lietojot noteiktus maršrutētāju modeļus, papildus ir pieejamas ugunsmūra funkcijas ar satiksmes pārbaudi, IPS/IDS. Ir iespējams segmentēt filiāļu tīklus, izmantojot VRF. Ir iespējams autentificēt (vienfaktora) kontroles protokolus.
Šajā gadījumā attālais maršrutētājs pēc noklusējuma tiek uzskatīts par uzticamu tīkla elementu – t.i. netiek pieņemti vai ņemti vērā atsevišķu ierīču fiziska kompromitēšanas gadījumi un nesankcionētas piekļuves iespēja tām, nav risinājuma komponentu divu faktoru autentifikācijas, kas ģeogrāfiski izkliedēta tīkla gadījumā var radīt ievērojamus papildu riskus.
в SD WAN pēc analoģijas ar DMVPN tiek nodrošināta iespēja šifrēt lietotāja datus, bet ar ievērojami paplašinātām tīkla drošības un L3/VRF segmentācijas funkcijām (ugunsmūris, IPS/IDS, URL filtrēšana, DNS filtrēšana, AMP/TG, SASE, TLS/SSL starpniekserveris, utt.) d.). Tajā pašā laikā šifrēšanas atslēgu apmaiņa tiek veikta efektīvāk, izmantojot vSmart kontrolierus (nevis tieši), izmantojot iepriekš izveidotus signalizācijas kanālus, kas aizsargāti ar DTLS/TLS šifrēšanu, pamatojoties uz drošības sertifikātiem. Kas savukārt garantē šādu apmaiņu drošību un nodrošina labāku risinājuma mērogojamību līdz pat desmitiem tūkstošu ierīču vienā tīklā.
Visi signalizācijas savienojumi (kontrolleris-kontrolleris, kontrolleris-maršrutētājs) arī ir aizsargāti, pamatojoties uz DTLS/TLS. Maršrutētāji ražošanas laikā ir aprīkoti ar drošības sertifikātiem ar iespēju nomainīt/pagarināt. Divu faktoru autentifikācija tiek panākta, obligāti un vienlaikus izpildot divus nosacījumus, lai maršrutētājs/kontrolleris darbotos SD-WAN tīklā:
- Derīgs drošības sertifikāts
- Administrators skaidri un apzināti iekļauj katra komponenta “baltajā” atļauto ierīču sarakstā.

Funkcionālās atšķirības starp SD-WAN un DMVPN/PfR

Pārejot pie funkcionālo atšķirību iztirzāšanas, jāatzīmē, ka daudzas no tām ir arhitektonisko turpinājums - nav noslēpums, ka, veidojot risinājuma arhitektūru, izstrādātāji iziet no iespējām, kuras galu galā vēlas iegūt. Apskatīsim būtiskākās atšķirības starp abām tehnoloģijām.

AppQ (Application Quality) – funkcijas, lai nodrošinātu biznesa lietojumprogrammu trafika pārraides kvalitāti

Aplūkojamo tehnoloģiju galvenās funkcijas ir vērstas uz to, lai pēc iespējas vairāk uzlabotu lietotāja pieredzi, izmantojot biznesam svarīgas lietojumprogrammas izplatītajā tīklā. Īpaši svarīgi tas ir apstākļos, kad daļu infrastruktūras nekontrolē IT vai pat negarantē veiksmīgu datu pārraidi.

DMVPN pats nenodrošina šādus mehānismus. Labākais, ko var izdarīt klasiskajā DMVPN tīklā, ir klasificēt izejošo trafiku pēc lietojumprogrammas un noteikt to prioritāti, kad tā tiek pārraidīta uz WAN kanālu. DMVPN tuneļa izvēli šajā gadījumā nosaka tikai tā pieejamība un maršrutēšanas protokolu darbības rezultāts. Tajā pašā laikā ceļa/tuneļa stāvoklis no gala līdz galam un tā iespējamā daļēja degradācija netiek ņemta vērā attiecībā uz galvenajiem rādītājiem, kas ir nozīmīgi tīkla lietojumprogrammām - aizkave, aizkaves izmaiņas (trīce) un zudumi (% ). Šajā sakarā, tieši salīdzinot klasisko DMVPN ar SD-WAN AppQ problēmu risināšanas ziņā, tiek zaudēta visa nozīme - DMVPN nevar atrisināt šo problēmu. Ja šim kontekstam pievienojat Cisco Performance Routing (PfR) tehnoloģiju, situācija mainās un salīdzināšana ar Cisco SD-WAN kļūst nozīmīgāka.

Pirms mēs apspriežam atšķirības, šeit ir īss ieskats tehnoloģiju līdzībās. Tātad, abas tehnoloģijas:

ir mehānisms, kas ļauj dinamiski novērtēt katra izveidotā tuneļa stāvokli, ņemot vērā noteiktus rādītājus - pēc minimuma, aizkaves, aizkaves variācijas un pakešu zuduma (%)
izmantot īpašu rīku komplektu, lai veidotu, izplatītu un piemērotu satiksmes pārvaldības noteikumus (politiku), ņemot vērā galveno tuneļa rādītāju stāvokļa mērīšanas rezultātus.
klasificēt lietojumprogrammu trafiku OSI modeļa L3-L4 (DSCP) līmenī vai pēc L7 lietojumprogrammu parakstiem, pamatojoties uz maršrutētājā iebūvētiem DPI mehānismiem
Nozīmīgām lietojumprogrammām tie ļauj noteikt pieļaujamās metrikas sliekšņa vērtības, noteikumus trafika pārsūtīšanai pēc noklusējuma un noteikumus trafika maršrutēšanai, ja sliekšņa vērtības tiek pārsniegtas.
Iekapsulējot trafiku GRE/IPSec, viņi izmanto jau izveidoto nozares mehānismu iekšējo DSCP marķējumu pārsūtīšanai uz ārējo GRE/IPSEC pakešu galveni, kas ļauj sinhronizēt organizācijas un telekomunikāciju operatora QoS politikas (ja ir atbilstošs SLA) .

Kā atšķiras SD-WAN un DMVPN/PfR metrika no gala līdz galam?

DMVPN/PfR

Lai novērtētu standarta tuneļa veselības rādītājus, tiek izmantoti gan aktīvie, gan pasīvie programmatūras sensori (zondes). Aktīvās ir balstītas uz lietotāju trafiku, pasīvās atdarina šādu trafiku (ja tās nav).
Taimeru un degradācijas noteikšanas apstākļu precīza regulēšana nav veikta - algoritms ir fiksēts.
Turklāt ir pieejams izmantotā joslas platuma mērījums izejošā virzienā. Kas pievieno papildu trafika pārvaldības elastību DMVPN/PfR.
Tajā pašā laikā daži PfR mehānismi, ja tiek pārsniegti rādītāji, paļaujas uz atgriezeniskās saites signālu īpašu TCA (Threshold Crossing Alert) ziņojumu veidā, kam jānāk no satiksmes saņēmēja virzienā uz avotu, kas savukārt pieņem, ka izmērītajiem kanāliem jābūt vismaz pietiekamiem šādu TCA ziņojumu pārraidīšanai. Kas vairumā gadījumu nav problēma, bet acīmredzami to nevar garantēt.

SD WAN

Standarta tuneļa stāvokļa metrikas pilnīgai novērtēšanai BFD protokols tiek izmantots atbalss režīmā. Šajā gadījumā īpaša atgriezeniskā saite TCA vai līdzīgu ziņojumu veidā nav nepieciešama - tiek saglabāta kļūmju domēnu izolācija. Lai novērtētu tuneļa stāvokli, nav nepieciešama arī lietotāju trafika klātbūtne.
Ir iespējams precīzi noregulēt BFD taimerus, lai regulētu reakcijas ātrumu un algoritma jutīgumu pret sakaru kanāla degradāciju no vairākām sekundēm līdz minūtēm.
Rakstīšanas laikā katrā tunelī ir tikai viena BFD sesija. Tas potenciāli rada mazāku tuneļa stāvokļa analīzi. Patiesībā tas var kļūt par ierobežojumu tikai tad, ja izmantojat WAN savienojumu, kura pamatā ir MPLS L2/L3 VPN ar saskaņotu QoS SLA — ja BFD trafika DSCP marķējums (pēc iekapsulēšanas IPSec/GRE) atbilst augstas prioritātes rindai telekomunikāciju operatora tīklā, tas var ietekmēt zemas prioritātes trafika degradācijas noteikšanas precizitāti un ātrumu. Tajā pašā laikā ir iespējams mainīt noklusējuma BFD marķējumu, lai samazinātu šādu situāciju risku. Turpmākajās Cisco SD-WAN programmatūras versijās ir sagaidāmi precīzāki BFD iestatījumi, kā arī iespēja palaist vairākas BFD sesijas vienā tunelī ar atsevišķām DSCP vērtībām (dažādām lietojumprogrammām).
BFD papildus ļauj novērtēt maksimālo pakešu lielumu, ko var pārsūtīt pa noteiktu tuneli bez sadrumstalotības. Tas ļauj SD-WAN dinamiski pielāgot tādus parametrus kā MTU un TCP MSS Adjust, lai maksimāli izmantotu pieejamo joslas platumu katrā saitē.
SD-WAN ir pieejama arī QoS sinhronizācijas iespēja no telekomunikāciju operatoriem, ne tikai pamatojoties uz L3 DSCP laukiem, bet arī pamatojoties uz L2 CoS vērtībām, kuras var automātiski ģenerēt filiāļu tīklā ar specializētām ierīcēm - piemēram, IP. tālruņi

Kā atšķiras AppQ politiku definēšanas un piemērošanas iespējas, metodes?

DMVPN/PfR politikas:

Definēts centrālajā(-s) filiāles maršrutētājā(-os), izmantojot CLI komandrindu vai CLI konfigurācijas veidnes. CLI veidņu ģenerēšanai ir nepieciešama sagatavošanās un zināšanas par politikas sintakse.
Definēts globāli bez individuālas konfigurācijas/izmaiņas iespējas atsevišķu tīkla segmentu prasībām.
Grafiskajā saskarnē nav nodrošināta interaktīva politikas ģenerēšana.
Izmaiņu izsekošana, mantošana un vairāku politiku versiju izveide ātrai pārslēgšanai netiek nodrošināta.
Automātiski tiek izplatīts attālo filiāļu maršrutētājiem. Šajā gadījumā tiek izmantoti tie paši sakaru kanāli, kas tiek izmantoti lietotāja datu pārsūtīšanai. Ja nav sakaru kanāla starp centrālo un attālo filiāli, politiku izplatīšana/maiņa nav iespējama.
Tie tiek izmantoti katrā maršrutētājā un, ja nepieciešams, modificē standarta maršrutēšanas protokolu rezultātu ar augstāku prioritāti.
Gadījumos, kad visas filiāles WAN saites piedzīvo ievērojamus trafika zudumus, nav paredzēti kompensācijas mehānismi.

SD-WAN politikas:

Definēts vManage GUI, izmantojot interaktīvo veidņu vedni.
Atbalsta vairāku politiku izveidi, kopēšanu, mantošanu, pārslēgšanos starp politikām reāllaikā.
Atbalsta atsevišķus politikas iestatījumus dažādiem tīkla segmentiem (filiālēm)
Tie tiek izplatīti, izmantojot jebkuru pieejamo signāla kanālu starp kontrolieri un maršrutētāju un/vai vSmart — tie nav tieši atkarīgi no datu plaknes savienojamības starp maršrutētājiem. Tas, protams, prasa IP savienojumu starp pašu maršrutētāju un kontrolieriem.
Gadījumos, kad visas pieejamās filiāles filiāles piedzīvo ievērojamus datu zudumus, kas pārsniedz kritisko lietojumprogrammu pieļaujamos sliekšņus, ir iespējams izmantot papildu mehānismus, kas palielina pārraides uzticamību:
- FEC (forward Error Correction) – izmanto īpašu lieku kodēšanas algoritmu. Pārraidot kritisko trafiku pa kanāliem ar ievērojamu zaudējumu procentu, FEC var tikt automātiski aktivizēts un vajadzības gadījumā ļauj atjaunot zaudēto datu daļu. Tas nedaudz palielina izmantoto pārraides joslas platumu, bet ievērojami uzlabo uzticamību.
- Datu straumju dublēšanās – Papildus FEC polise var paredzēt automātisku atlasīto aplikāciju trafika dublēšanu, ja rodas vēl nopietnāks zaudējumu līmenis, ko FEC nevar kompensēt. Šajā gadījumā atlasītie dati tiks pārsūtīti pa visiem tuneļiem uz saņēmēju filiāli ar sekojošu dublēšanas atcelšanu (pakešu papildu kopiju nomešana). Mehānisms ievērojami palielina kanālu izmantošanu, bet arī ievērojami palielina pārraides uzticamību.

Cisco SD-WAN iespējas bez tiešiem analogiem DMVPN/PfR

Cisco SD-WAN risinājuma arhitektūra dažos gadījumos ļauj iegūt iespējas, kuras ir vai nu ārkārtīgi grūti ieviest DMVPN/PfR ietvaros, vai arī ir nepraktiskas nepieciešamo darbaspēka izmaksu dēļ, vai arī ir pilnīgi neiespējamas. Apskatīsim interesantākos no tiem:

Satiksmes inženierija (TE)

TE ietver mehānismus, kas ļauj satiksmei atzaroties pa standarta ceļu, ko veido maršrutēšanas protokoli. TE bieži izmanto, lai nodrošinātu augstu tīkla pakalpojumu pieejamību, spēju ātri un/vai proaktīvi pārsūtīt kritisko trafiku uz alternatīvu (atdalītu) pārraides ceļu, lai nodrošinātu labāku pakalpojuma kvalitāti vai atkopšanas ātrumu kļūmes gadījumā. uz galvenā ceļa.

TE ieviešanas grūtības ir saistītas ar nepieciešamību iepriekš aprēķināt un rezervēt (pārbaudīt) alternatīvu ceļu. Telekomunikāciju operatoru MPLS tīklos šī problēma tiek atrisināta, izmantojot tādas tehnoloģijas kā MPLS Traffic-Engineering ar IGP protokolu un RSVP protokola paplašinājumiem. Pēdējā laikā arvien populārāka ir kļuvusi arī Segment Routing tehnoloģija, kas ir vairāk optimizēta centralizētai konfigurācijai un orķestrēšanai. Klasiskajos WAN tīklos šīs tehnoloģijas parasti nav pārstāvētas vai tiek reducētas līdz lēcienveida mehānismu izmantošanai, piemēram, uz politiku balstīta maršrutēšana (PBR), kas spēj sazarot trafiku, bet ievieš to katrā maršrutētājā atsevišķi, neizmantojot ņem vērā kopējo tīkla stāvokli vai PBR rezultātu iepriekšējās vai turpmākajās darbībās. Šo TE opciju izmantošanas rezultāts ir neapmierinošs - MPLS TE konfigurācijas un darbības sarežģītības dēļ parasti tiek izmantots tikai vissvarīgākajā tīkla daļā (kodolā), un PBR tiek izmantots atsevišķiem maršrutētājiem bez iespēja izveidot vienotu PBR politiku visam tīklam. Acīmredzot tas attiecas arī uz tīkliem, kuru pamatā ir DMVPN.

SD-WAN šajā ziņā piedāvā daudz elegantāku risinājumu, kas ir ne tikai viegli konfigurējams, bet arī daudz labāk mērogojams. Tas ir izmantotās vadības plaknes un politikas plaknes arhitektūras rezultāts. Politikas plaknes ieviešana SD-WAN ļauj centralizēti definēt TE politiku — kāda satiksme interesē? kuriem VPN? Caur kuriem mezgliem/tuneļiem ir nepieciešams vai, tieši otrādi, aizliegts veidot alternatīvu maršrutu? Savukārt vadības plaknes vadības centralizācija, kuras pamatā ir vSmart kontrolleri, ļauj modificēt maršrutēšanas rezultātus, neizmantojot atsevišķu ierīču iestatījumus – maršrutētāji jau redz tikai tās loģikas rezultātu, kas tika ģenerēta vManage saskarnē un nodota lietošanai vSmart.

Pakalpojumu ķēde

Pakalpojumu ķēžu veidošana klasiskajā maršrutēšanā ir vēl darbietilpīgāks uzdevums nekā jau aprakstītais Satiksmes inženierijas mehānisms. Patiešām, šajā gadījumā ir nepieciešams ne tikai izveidot īpašu maršrutu konkrētai tīkla lietojumprogrammai, bet arī nodrošināt iespēju noņemt trafiku no tīkla noteiktos (vai visos) SD-WAN tīkla mezglos, lai to apstrādātu. īpaša lietojumprogramma vai pakalpojums (ugunsmūris, balansēšana, kešatmiņa, pārbaudes trafiks utt.). Tajā pašā laikā ir jāspēj kontrolēt šo ārējo pakalpojumu stāvokli, lai novērstu melnā holinga situācijas, kā arī ir nepieciešami mehānismi, kas ļauj izvietot šādus viena veida ārējos pakalpojumus dažādās ģeogrāfiskās vietās. ar tīkla iespēju automātiski izvēlēties optimālāko servisa mezglu konkrētas filiāles trafika apstrādei. Cisco SD-WAN gadījumā to ir diezgan viegli panākt, izveidojot atbilstošu centralizētu politiku, kas “salīmē” visus mērķa pakalpojumu ķēdes aspektus vienā veselumā un automātiski maina datu plaknes un vadības plaknes loģiku tikai tad, ja un kad nepieciešams.

Iespēja izveidot ģeogrāfiski sadalītu atlasīto lietojumprogrammu veidu trafika apstrādi noteiktā secībā specializētā (bet ne ar pašu SD-WAN tīklu saistītā) iekārtā, iespējams, ir visskaidrākais Cisco SD-WAN priekšrocību demonstrējums salīdzinājumā ar klasisko. tehnoloģijas un pat daži alternatīvi SD risinājumi -WAN no citiem ražotājiem.

Rezultāts?

Acīmredzot gan DMVPN (ar vai bez veiktspējas maršrutēšanas), gan Cisco SD-WAN galu galā atrisina ļoti līdzīgas problēmas saistībā ar organizācijas izplatīto WAN tīklu. Tajā pašā laikā ievērojamas arhitektūras un funkcionālās atšķirības Cisco SD-WAN tehnoloģijā noved pie šo problēmu risināšanas procesa. uz citu kvalitātes līmeni. Rezumējot, mēs varam atzīmēt šādas būtiskas atšķirības starp SD-WAN un DMVPN/PfR tehnoloģijām:

DMVPN/PfR parasti izmanto laika pārbaudītas tehnoloģijas pārklājuma VPN tīklu veidošanai un datu plaknes ziņā ir līdzīgas modernākai SD-WAN tehnoloģijai, tomēr ir vairāki ierobežojumi obligātās statiskās konfigurācijas veidā. maršrutētāju un topoloģiju izvēle ir ierobežota ar Hub-n-Spoke. No otras puses, DMVPN/PfR ir dažas funkcijas, kas vēl nav pieejamas SD-WAN (mēs runājam par BFD katrai lietojumprogrammai).
Vadības plaknē tehnoloģijas būtiski atšķiras. Ņemot vērā signalizācijas protokolu centralizēto apstrādi, SD-WAN jo īpaši ļauj ievērojami sašaurināt kļūmju domēnus un “atsaistīt” lietotāja trafika pārsūtīšanas procesu no signalizācijas mijiedarbības - kontrolieru īslaicīga nepieejamība neietekmē spēju pārraidīt lietotāja trafiku. . Tajā pašā laikā jebkuras filiāles (arī centrālās) īslaicīga nepieejamība nekādā veidā neietekmē citu filiāļu spēju mijiedarboties savā starpā un kontrolieriem.
Arī trafika pārvaldības politiku veidošanas un piemērošanas arhitektūra SD-WAN gadījumā ir pārāka par DMVPN/PfR - ģeogrāfiskā rezervācija ir daudz labāk ieviesta, nav savienojuma ar centrmezglu, ir lielākas naudas soda iespējas -skaņošanas politikas, arī ieviesto satiksmes pārvaldības scenāriju saraksts ir daudz lielāks.
Arī risinājuma orķestrēšanas process būtiski atšķiras. DMVPN pieņem iepriekš zināmu parametru klātbūtni, kas kaut kādā veidā jāatspoguļo konfigurācijā, kas nedaudz ierobežo risinājuma elastību un dinamisku izmaiņu iespēju. Savukārt SD-WAN pamatā ir paradigma, ka sākotnējā savienojuma brīdī maršrutētājs “neko nezina” par saviem kontrolieriem, bet zina, “kam var jautāt” – ar to pietiek ne tikai, lai automātiski izveidotu saziņu ar kontrolieriem, bet arī automātiski veidot pilnībā savienotu datu plaknes topoloģiju, ko pēc tam var elastīgi konfigurēt/mainīt, izmantojot politikas.
Paredzams, ka centralizētās pārvaldības, automatizācijas un uzraudzības ziņā SD-WAN pārspēs DMVPN/PfR iespējas, kas ir attīstījušās no klasiskajām tehnoloģijām un vairāk paļaujas uz CLI komandrindu un uz veidnēm balstītu NMS sistēmu izmantošanu.
SD-WAN, salīdzinot ar DMVPN, drošības prasības ir sasniegušas citu kvalitatīvu līmeni. Galvenie principi ir nulles uzticamība, mērogojamība un divu faktoru autentifikācija.

Šie vienkāršie secinājumi var radīt nepareizu iespaidu, ka tīkla izveide, pamatojoties uz DMVPN/PfR, mūsdienās ir zaudējusi savu nozīmi. Tas, protams, nav pilnīgi taisnība. Piemēram, gadījumos, kad tīklā tiek izmantots daudz novecojušu iekārtu un nav iespējas to nomainīt, DMVPN var ļaut apvienot “vecās” un “jaunās” ierīces vienā ģeogrāfiski sadalītā tīklā ar daudzām no aprakstītajām priekšrocībām. virs.

No otras puses, jāatceras, ka visi pašreizējie Cisco korporatīvie maršrutētāji, kuru pamatā ir IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v), šodien atbalsta jebkuru darbības režīmu - gan klasisko maršrutēšanu, gan DMVPN un SD-WAN - izvēli nosaka aktuālās vajadzības un izpratne, ka jebkurā brīdī, izmantojot vienu un to pašu aprīkojumu, var sākt virzīties uz progresīvākām tehnoloģijām.

Avots: www.habr.com

Vai Cisco SD-WAN nogriezīs zaru, uz kura atrodas DMVPN?