KopÅ” 2017. gada augusta, kad Cisco iegÄdÄjÄs Viptela, galvenÄ piedÄvÄtÄ tehnoloÄ£ija izplatÄ«to uzÅÄmumu tÄ«klu organizÄÅ”anai ir kļuvusi Cisco SD-WAN. PÄdÄjo 3 gadu laikÄ SD-WAN tehnoloÄ£ija ir piedzÄ«vojusi daudzas izmaiÅas gan kvalitatÄ«vi, gan kvantitatÄ«vi. TÄdÄjÄdi funkcionalitÄte ir ievÄrojami paplaÅ”inÄjusies un ir parÄdÄ«jies atbalsts sÄrijas klasiskajiem marÅ”rutÄtÄjiem Cisco ISR 1000, ISR 4000, ASR 1000 un Virtual CSR 1000v. TajÄ paÅ”Ä laikÄ daudzi Cisco klienti un partneri turpina brÄ«nÄ«ties: kÄdas ir atŔķirÄ«bas starp Cisco SD-WAN un jau pazÄ«stamajÄm pieejÄm, kuru pamatÄ ir tÄdas tehnoloÄ£ijas kÄ Cisco DMVPN Šø Cisco veiktspÄjas marÅ”rutÄÅ”ana un cik svarÄ«gas ir Ŕīs atŔķirÄ«bas?
Å eit mums nekavÄjoties jÄizdara atruna, ka pirms SD-WAN parÄdÄ«Å”anÄs Cisco portfelÄ« DMVPN kopÄ ar PfR veidoja galveno arhitektÅ«ras daļu. Cisco IWAN (inteliÄ£entais WAN), kas savukÄrt bija pilnvÄrtÄ«gas SD-WAN tehnoloÄ£ijas priekÅ”tecis. Neskatoties uz risinÄmo uzdevumu un to risinÄÅ”anas metožu vispÄrÄjo lÄ«dzÄ«bu, IWAN nekad nav saÅÄmis SD-WAN nepiecieÅ”amo automatizÄcijas, elastÄ«bas un mÄrogojamÄ«bas lÄ«meni, un laika gaitÄ IWAN attÄ«stÄ«ba ir ievÄrojami samazinÄjusies. TajÄ paÅ”Ä laikÄ tehnoloÄ£ijas, kas veido IWAN, nav pazuduÅ”as, un daudzi klienti turpina tÄs veiksmÄ«gi izmantot, tostarp modernÄs iekÄrtÄs. RezultÄtÄ ir izveidojusies interesanta situÄcija - viena un tÄ pati Cisco iekÄrta ļauj izvÄlÄties piemÄrotÄko WAN tehnoloÄ£iju (classic, DMVPN+PfR vai SD-WAN) atbilstoÅ”i klientu prasÄ«bÄm un vÄlmÄm.
RakstÄ nav paredzÄts detalizÄti analizÄt visas Cisco SD-WAN un DMVPN tehnoloÄ£iju funkcijas (ar vai bez veiktspÄjas marÅ”rutÄÅ”anas) - Å”im nolÅ«kam ir pieejams milzÄ«gs daudzums dokumentu un materiÄlu. Galvenais uzdevums ir mÄÄ£inÄt novÄrtÄt galvenÄs atŔķirÄ«bas starp Ŕīm tehnoloÄ£ijÄm. Bet pirms pÄriet uz Å”o atŔķirÄ«bu apsprieÅ”anu, Ä«si atcerÄsimies paÅ”as tehnoloÄ£ijas.
Kas ir Cisco DMVPN un kÄpÄc tas ir vajadzÄ«gs?
Cisco DMVPN atrisina attÄlÄ filiÄļu tÄ«kla dinamiska (= mÄrogojama) savienojuma ar uzÅÄmuma centrÄlÄ biroja tÄ«klu problÄmu, izmantojot patvaļīgus sakaru kanÄlu veidus, tostarp internetu (= ar sakaru kanÄla Å”ifrÄÅ”anu). Tehniski tas tiek realizÄts, izveidojot virtualizÄtu L3 VPN klases pÄrklÄjuma tÄ«klu point-to-multipoint režīmÄ ar loÄ£isku āStarā tipa topoloÄ£iju (Hub-n-Spoke). Lai to panÄktu, DMVPN izmanto Å”Ädu tehnoloÄ£iju kombinÄciju:
- IP marÅ”rutÄÅ”ana
- Daudzpunktu GRE tuneļi (mGRE)
- Next Hop Resolution Protocol (NHRP)
- IPSec Crypto profili
KÄdas ir galvenÄs Cisco DMVPN priekÅ”rocÄ«bas salÄ«dzinÄjumÄ ar klasisko marÅ”rutÄÅ”anu, izmantojot MPLS VPN kanÄlus?
- Lai izveidotu starpnozaru tÄ«klu, ir iespÄjams izmantot jebkurus sakaru kanÄlus - ir piemÄrots jebkas, kas var nodroÅ”inÄt IP savienojamÄ«bu starp filiÄlÄm, savukÄrt trafiks tiks Å”ifrÄts (kur nepiecieÅ”ams) un lÄ«dzsvarots (kur iespÄjams)
- AutomÄtiski tiek izveidota pilnÄ«bÄ savienota topoloÄ£ija starp zariem. TajÄ paÅ”Ä laikÄ starp centrÄlajiem un attÄlajiem atzariem ir statiski tuneļi, bet starp attÄlajiem atzariem pÄc pieprasÄ«juma ir dinamiski tuneļi (ja ir satiksme).
- CentrÄlÄs un attÄlÄs filiÄles marÅ”rutÄtÄjiem ir vienÄda konfigurÄcija lÄ«dz interfeisu IP adresÄm. Izmantojot mGRE, nav nepiecieÅ”ams individuÄli konfigurÄt desmitiem, simtiem vai pat tÅ«kstoÅ”iem tuneļu. RezultÄtÄ pienÄcÄ«ga mÄrogojamÄ«ba ar pareizo dizainu.
Kas ir Cisco veiktspÄjas marÅ”rutÄÅ”ana un kÄpÄc tas ir vajadzÄ«gs?
Izmantojot DMVPN starpnozaru tÄ«klÄ, neatrisinÄts paliek viens ÄrkÄrtÄ«gi bÅ«tisks jautÄjums - kÄ dinamiski novÄrtÄt katra DMVPN tuneļa stÄvokli, lai tas atbilstu mÅ«su organizÄcijai kritiskajÄm satiksmes prasÄ«bÄm un atkal, pamatojoties uz Å”Ädu novÄrtÄjumu, dinamiski veikt. lÄmums par marÅ”ruta maiÅu? Fakts ir tÄds, ka DMVPN Å”ajÄ daÄ¼Ä maz atŔķiras no klasiskÄs marÅ”rutÄÅ”anas - labÄkais, ko var izdarÄ«t, ir konfigurÄt QoS mehÄnismus, kas ļaus noteikt prioritÄti trafikam izejoÅ”Ä virzienÄ, bet nekÄdÄ gadÄ«jumÄ nevar Åemt vÄrÄ visu ceļu vienÄ vai otrÄ reizÄ.
Un ko darÄ«t, ja kanÄls degradÄjas daļÄji, nevis pilnÄ«bÄ - kÄ to atklÄt un novÄrtÄt? DMVPN pats to nevar izdarÄ«t. Å emot vÄrÄ, ka kanÄli, kas savieno filiÄles, var iziet cauri pilnÄ«gi dažÄdiem telekomunikÄciju operatoriem, izmantojot pilnÄ«gi atŔķirÄ«gas tehnoloÄ£ijas, Å”is uzdevums kļūst ÄrkÄrtÄ«gi nenozÄ«mÄ«gs. Un Å”eit palÄ«gÄ nÄk Cisco Performance Routing tehnoloÄ£ija, kas lÄ«dz tam laikam jau bija izgÄjusi vairÄkus attÄ«stÄ«bas posmus.
Cisco Performance Routing (turpmÄk PfR) uzdevums ir izmÄrÄ«t trafika ceļu (tuneļu) stÄvokli, pamatojoties uz galvenajiem tÄ«kla lietojumprogrammÄm svarÄ«giem rÄdÄ«tÄjiem. latentums, latentuma izmaiÅas (trÄ«ce) un pakeÅ”u zudumi (procentos). TurklÄt var izmÄrÄ«t izmantoto joslas platumu. Å ie mÄrÄ«jumi notiek pÄc iespÄjas tuvÄk reÄlajam laikam un pamatoti, un Å”o mÄrÄ«jumu rezultÄts ļauj marÅ”rutÄtÄjam, kas izmanto PfR, dinamiski pieÅemt lÄmumus par nepiecieÅ”amÄ«bu mainÄ«t tÄ vai cita veida trafika marÅ”rutÄÅ”anu.
TÄdÄjÄdi DMVPN / PfR kombinÄcijas uzdevumu var Ä«si aprakstÄ«t Å”Ädi:
- Ä»aujiet klientam izmantot jebkurus sakaru kanÄlus WAN tÄ«klÄ
- NodroÅ”iniet augstÄko iespÄjamo kritisko lietojumprogrammu kvalitÄti Å”ajos kanÄlos
Kas ir Cisco SD-WAN?
Cisco SD-WAN ir tehnoloÄ£ija, kas izmanto SDN pieeju, lai izveidotu un darbinÄtu organizÄcijas WAN tÄ«klu. Tas jo Ä«paÅ”i nozÄ«mÄ tÄ saukto kontrolieru (programmatÅ«ras elementu) izmantoÅ”anu, kas nodroÅ”ina visu risinÄjuma komponentu centralizÄtu orÄ·estrÄÅ”anu un automatizÄtu konfigurÄciju. AtŔķirÄ«bÄ no kanoniskÄ SDN (Clean Slate style), Cisco SD-WAN izmanto vairÄku veidu kontrolierus, no kuriem katrs veic savu lomu - tas tika darÄ«ts ar nolÅ«ku, lai nodroÅ”inÄtu labÄku mÄrogojamÄ«bu un Ä£eogrÄfisko atlaiÅ”anu.
SD-WAN gadÄ«jumÄ uzdevums izmantot jebkÄda veida kanÄlus un nodroÅ”inÄt biznesa aplikÄciju darbÄ«bu paliek nemainÄ«gs, taÄu tajÄ paÅ”Ä laikÄ paplaÅ”inÄs prasÄ«bas Å”Äda tÄ«kla automatizÄcijai, mÄrogojamÄ«bai, droŔībai un elastÄ«bai.
AtŔķirību diskusija
Ja mÄs tagad sÄksim analizÄt atŔķirÄ«bas starp Ŕīm tehnoloÄ£ijÄm, tÄs iedalÄ«sies kÄdÄ no Ŕīm kategorijÄm:
- ArhitektÅ«ras atŔķirÄ«bas ā kÄ funkcijas tiek sadalÄ«tas pa dažÄdiem risinÄjuma komponentiem, kÄ tiek organizÄta Å”Ädu komponentu mijiedarbÄ«ba un kÄ tas ietekmÄ tehnoloÄ£ijas iespÄjas un elastÄ«bu?
- FunkcionalitÄte ā ko viena tehnoloÄ£ija var darÄ«t, ko cita nespÄj? Un vai tas tieÅ”Äm ir tik svarÄ«gi?
KÄdas ir arhitektÅ«ras atŔķirÄ«bas un vai tÄs ir svarÄ«gas?
Katrai no Ŕīm tehnoloÄ£ijÄm ir daudz ākustÄ«go daļuā, kas atŔķiras ne tikai ar savÄm lomÄm, bet arÄ« to, kÄ tÄs mijiedarbojas savÄ starpÄ. Cik labi Å”ie principi ir pÄrdomÄti un risinÄjuma vispÄrÄjÄ mehÄnika tieÅ”i nosaka tÄ mÄrogojamÄ«bu, kļūdu toleranci un kopÄjo efektivitÄti.
ApskatÄ«sim dažÄdus arhitektÅ«ras aspektus sÄ«kÄk:
Datu plakne ā daļa no risinÄjuma, kas atbild par lietotÄja trafika pÄrsÅ«tÄ«Å”anu starp avotu un saÅÄmÄju. DMVPN un SD-WAN parasti tiek ieviesti identiski paÅ”os marÅ”rutÄtÄjos, pamatojoties uz daudzpunktu GRE tuneļiem. AtŔķirÄ«ba ir tÄ, kÄ tiek veidots nepiecieÅ”amais parametru kopums Å”iem tuneļiem:
- Š² DMVPN/PfR ir tikai divu lÄ«meÅu mezglu hierarhija ar Star vai Hub-n-Spoke topoloÄ£iju. NepiecieÅ”ama statiskÄ centrmezgla konfigurÄcija un statiskÄ Spoke saistÄ«Å”ana ar centrmezglu, kÄ arÄ« mijiedarbÄ«ba, izmantojot NHRP protokolu, lai izveidotu datu plaknes savienojumu. SekojoÅ”i, ievÄrojami apgrÅ«tinot izmaiÅas centrmezglÄkas saistÄ«ti, piemÄram, ar jaunu WAN kanÄlu maiÅu/pieslÄgÅ”anu vai esoÅ”o parametru maiÅu.
- Š² SD WAN ir pilnÄ«bÄ dinamisks modelis uzstÄdÄ«to tuneļu parametru noteikÅ”anai, pamatojoties uz vadÄ«bas plakni (OMP protokols) un orÄ·estrÄÅ”anas plakni (mijiedarbÄ«ba ar vBond kontrolleri kontroliera noteikÅ”anai un NAT ŔķÄrsoÅ”anas uzdevumiem). Å ajÄ gadÄ«jumÄ var izmantot jebkuras virskÄrtas topoloÄ£ijas, ieskaitot hierarhiskas. IzveidotÄs pÄrklÄjuma tuneļa topoloÄ£ijas ietvaros ir iespÄjama elastÄ«ga loÄ£iskÄs topoloÄ£ijas konfigurÄcija katrÄ atseviÅ”Ä·Ä VPN (VRF).
VadÄ«bas plakne ā marÅ”rutÄÅ”anas un citas informÄcijas apmaiÅas, filtrÄÅ”anas un modifikÄcijas funkcijas starp risinÄjuma komponentiem.
- Š² DMVPN/PfR ā tiek veikta tikai starp Hub un Spoke marÅ”rutÄtÄjiem. TieÅ”a marÅ”rutÄÅ”anas informÄcijas apmaiÅa starp spieÄ·iem nav iespÄjama. SekojoÅ”i, Bez funkcionÄjoÅ”a centrmezgla vadÄ«bas plakne un datu plakne nevar darboties, kas centrmezglam uzliek papildu augstas pieejamÄ«bas prasÄ«bas, kuras ne vienmÄr var izpildÄ«t.
- Š² SD WAN - vadÄ«bas plakne nekad netiek veikta tieÅ”i starp marÅ”rutÄtÄjiem - mijiedarbÄ«ba notiek, pamatojoties uz OMP protokolu un obligÄti tiek veikta, izmantojot atseviŔķu specializÄtu vSmart kontrollera veidu, kas nodroÅ”ina iespÄju lÄ«dzsvarot, Ä£eogrÄfiski rezervÄt un centralizÄti kontrolÄt signÄla slodze. VÄl viena OMP protokola iezÄ«me ir tÄ ievÄrojamÄ izturÄ«ba pret zaudÄjumiem un neatkarÄ«ba no sakaru kanÄla Ätruma ar kontrolieriem (protams, saprÄtÄ«gÄs robežÄs). Kas vienlÄ«dz veiksmÄ«gi ļauj izvietot SD-WAN kontrolierus publiskos vai privÄtos mÄkoÅos ar piekļuvi caur internetu.
Politikas plÄns ā daļa no risinÄjuma, kas atbild par trafika pÄrvaldÄ«bas politiku definÄÅ”anu, izplatÄ«Å”anu un piemÄroÅ”anu izplatÄ«tajÄ tÄ«klÄ.
- DMVPN ā to efektÄ«vi ierobežo pakalpojuma kvalitÄtes (QoS) politikas, kas katrÄ marÅ”rutÄtÄjÄ konfigurÄtas atseviŔķi, izmantojot CLI vai Prime Infrastructure veidnes.
- DMVPN/PfR ā PfR politikas tiek veidotas centralizÄtajÄ galvenÄ kontrollera (MC) marÅ”rutÄtÄjÄ, izmantojot CLI, un pÄc tam automÄtiski izplatÄ«tas filiÄles MC. Å ajÄ gadÄ«jumÄ tiek izmantoti tie paÅ”i politikas pÄrsÅ«tÄ«Å”anas ceļi kÄ datu plaknei. Nav iespÄjas nodalÄ«t politiku, marÅ”rutÄÅ”anas informÄcijas un lietotÄja datu apmaiÅu. Politikas izplatÄ«Å”anai ir nepiecieÅ”ams IP savienojuma klÄtbÅ«tne starp centrmezglu un spoku. Å ajÄ gadÄ«jumÄ MC funkciju vajadzÄ«bas gadÄ«jumÄ var apvienot ar DMVPN marÅ”rutÄtÄju. Ir iespÄjams (bet nav obligÄti) izmantot Prime Infrastructure veidnes centralizÄtai politikas Ä£enerÄÅ”anai. SvarÄ«ga iezÄ«me ir tÄda, ka politika visÄ tÄ«klÄ tiek veidota globÄli vienÄdi - AtseviŔķas politikas atseviŔķiem segmentiem netiek atbalstÄ«tas.
- SD WAN ā trafika pÄrvaldÄ«ba un pakalpojumu kvalitÄtes politikas tiek noteiktas centralizÄti caur Cisco vManage grafisko interfeisu, kas pieejams arÄ« caur internetu (ja nepiecieÅ”ams). Tie tiek izplatÄ«ti pa signalizÄcijas kanÄliem tieÅ”i vai netieÅ”i, izmantojot vSmart kontrollerus (atkarÄ«bÄ no politikas veida). Tie nav atkarÄ«gi no datu plaknes savienojamÄ«bas starp marÅ”rutÄtÄjiem, jo izmantojiet visus pieejamos satiksmes ceļus starp kontrolieri un marÅ”rutÄtÄju.
DažÄdiem tÄ«kla segmentiem iespÄjams elastÄ«gi formulÄt dažÄdas politikas - politikas apjomu nosaka daudzi unikÄli risinÄjumÄ sniegtie identifikatori - filiÄles numurs, aplikÄcijas veids, satiksmes virziens u.c.
OrÄ·estrÄcija-plakne ā mehÄnismi, kas ļauj komponentiem dinamiski atklÄt vienam otru, konfigurÄt un koordinÄt turpmÄkÄs mijiedarbÄ«bas.
- Š² DMVPN/PfR MarÅ”rutÄtÄju savstarpÄjÄs atklÄÅ”anas pamatÄ ir centrmezgla ierÄ«Äu statiskÄ konfigurÄcija un atbilstoÅ”Ä Spoke ierÄ«Äu konfigurÄcija. DinamiskÄ atklÄÅ”ana notiek tikai Spoke, kas ziÅo par saviem centrmezgla savienojuma parametriem ierÄ«cei, kas savukÄrt ir iepriekÅ” konfigurÄta ar Spoke. Bez IP savienojuma starp Spoke un vismaz vienu centrmezglu nav iespÄjams izveidot ne datu plakni, ne vadÄ«bas plakni.
- Š² SD WAN risinÄjuma komponentu orÄ·estrÄÅ”ana notiek, izmantojot vBond kontrolleri, ar kuru katram komponentam (marÅ”rutÄtÄji un vManage/vSmart kontrolleri) vispirms ir jÄizveido IP savienojums.
SÄkotnÄji komponenti nezina viens par otra savienojuma parametriem - Å”im nolÅ«kam viÅiem ir nepiecieÅ”ams vBond starpnieksorÄ·estris. VispÄrÄjais princips ir Å”Äds - katrs komponents sÄkuma fÄzÄ apgÅ«st (automÄtiski vai statiski) tikai par savienojuma parametriem vBond, pÄc tam vBond informÄ marÅ”rutÄtÄju par vManage un vSmart kontrolleriem (atklÄti iepriekÅ”), kas ļauj automÄtiski izveidot visi nepiecieÅ”amie signalizÄcijas savienojumi.
NÄkamais solis ir jaunajam marÅ”rutÄtÄjam uzzinÄt par citiem marÅ”rutÄtÄjiem tÄ«klÄ, izmantojot OMP saziÅu ar vSmart kontrolleri. TÄdÄjÄdi marÅ”rutÄtÄjs, sÄkotnÄji vispÄr neko nezinot par tÄ«kla parametriem, spÄj pilnÄ«bÄ automÄtiski noteikt un izveidot savienojumu ar kontrolieriem un pÄc tam arÄ« automÄtiski noteikt un veidot savienojumu ar citiem marÅ”rutÄtÄjiem. Å ajÄ gadÄ«jumÄ visu komponentu savienojuma parametri sÄkotnÄji nav zinÄmi un darbÄ«bas laikÄ var mainÄ«ties.
VadÄ«bas plakne ā daļa no risinÄjuma, kas nodroÅ”ina centralizÄtu pÄrvaldÄ«bu un uzraudzÄ«bu.
- DMVPN/PfR ā netiek nodroÅ”inÄts specializÄts vadÄ«bas plaknes risinÄjums. Pamata automatizÄcijai un uzraudzÄ«bai var izmantot tÄdus produktus kÄ Cisco Prime Infrastructure. Katru marÅ”rutÄtÄju var vadÄ«t, izmantojot CLI komandrindu. IntegrÄcija ar ÄrÄjÄm sistÄmÄm, izmantojot API, netiek nodroÅ”inÄta.
- SD WAN ā visa regulÄrÄ mijiedarbÄ«ba un uzraudzÄ«ba tiek veikta centralizÄti, izmantojot vManage kontrollera grafisko interfeisu. Visas risinÄjuma funkcijas bez izÅÄmuma ir pieejamas konfigurÄÅ”anai, izmantojot vManage, kÄ arÄ« pilnÄ«bÄ dokumentÄtu REST API bibliotÄku.
Visi SD-WAN tÄ«kla iestatÄ«jumi vManage ir saistÄ«ti ar divÄm galvenajÄm konstrukcijÄm - ierÄ«Äu veidÅu (Device Template) veidoÅ”anu un politikas veidoÅ”anu, kas nosaka tÄ«kla darbÄ«bas un trafika apstrÄdes loÄ£iku. TajÄ paÅ”Ä laikÄ vManage, pÄrraidot administratora Ä£enerÄto politiku, automÄtiski atlasa, kuras izmaiÅas un kurÄs atseviŔķÄs ierÄ«cÄs/kontrolleros jÄveic, kas bÅ«tiski palielina risinÄjuma efektivitÄti un mÄrogojamÄ«bu.
Izmantojot vManage interfeisu, ir pieejama ne tikai Cisco SD-WAN risinÄjuma konfigurÄcija, bet arÄ« pilnÄ«ga visu risinÄjuma komponentu statusa uzraudzÄ«ba lÄ«dz pat atseviŔķu tuneļu metrikas paÅ”reizÄjam stÄvoklim un dažÄdu lietojumprogrammu izmantoÅ”anas statistikai. pamatojoties uz DPI analÄ«zi.
Neskatoties uz mijiedarbÄ«bas centralizÄciju, visiem komponentiem (kontrolleriem un marÅ”rutÄtÄjiem) ir arÄ« pilnÄ«bÄ funkcionÄjoÅ”a CLI komandrinda, kas nepiecieÅ”ama ievieÅ”anas stadijÄ vai avÄrijas gadÄ«jumÄ vietÄjai diagnostikai. NormÄlÄ režīmÄ (ja starp komponentiem ir signalizÄcijas kanÄls) marÅ”rutÄtÄjos komandrinda ir pieejama tikai diagnostikai un nav pieejama lokÄlu izmaiÅu veikÅ”anai, kas garantÄ lokÄlo droŔību un vienÄ«gais izmaiÅu avots Å”ÄdÄ tÄ«klÄ ir vManage.
IntegrÄtÄ droŔība ā Å”eit jÄrunÄ ne tikai par lietotÄja datu aizsardzÄ«bu, kad tie tiek pÄrraidÄ«ti pa atvÄrtiem kanÄliem, bet arÄ« par kopÄjo WAN tÄ«kla droŔību, pamatojoties uz izvÄlÄto tehnoloÄ£iju.
- Š² DMVPN/PfR Ir iespÄjams Å”ifrÄt lietotÄja datus un signalizÄcijas protokolus. Lietojot noteiktus marÅ”rutÄtÄju modeļus, papildus ir pieejamas ugunsmÅ«ra funkcijas ar satiksmes pÄrbaudi, IPS/IDS. Ir iespÄjams segmentÄt filiÄļu tÄ«klus, izmantojot VRF. Ir iespÄjams autentificÄt (vienfaktora) kontroles protokolus.
Å ajÄ gadÄ«jumÄ attÄlais marÅ”rutÄtÄjs pÄc noklusÄjuma tiek uzskatÄ«ts par uzticamu tÄ«kla elementu ā t.i. netiek pieÅemti vai Åemti vÄrÄ atseviŔķu ierÄ«Äu fiziska kompromitÄÅ”anas gadÄ«jumi un nesankcionÄtas piekļuves iespÄja tÄm, nav risinÄjuma komponentu divu faktoru autentifikÄcijas, kas Ä£eogrÄfiski izkliedÄta tÄ«kla gadÄ«jumÄ var radÄ«t ievÄrojamus papildu riskus.
- Š² SD WAN pÄc analoÄ£ijas ar DMVPN tiek nodroÅ”inÄta iespÄja Å”ifrÄt lietotÄja datus, bet ar ievÄrojami paplaÅ”inÄtÄm tÄ«kla droŔības un L3/VRF segmentÄcijas funkcijÄm (ugunsmÅ«ris, IPS/IDS, URL filtrÄÅ”ana, DNS filtrÄÅ”ana, AMP/TG, SASE, TLS/SSL starpniekserveris, utt.) d.). TajÄ paÅ”Ä laikÄ Å”ifrÄÅ”anas atslÄgu apmaiÅa tiek veikta efektÄ«vÄk, izmantojot vSmart kontrolierus (nevis tieÅ”i), izmantojot iepriekÅ” izveidotus signalizÄcijas kanÄlus, kas aizsargÄti ar DTLS/TLS Å”ifrÄÅ”anu, pamatojoties uz droŔības sertifikÄtiem. Kas savukÄrt garantÄ Å”Ädu apmaiÅu droŔību un nodroÅ”ina labÄku risinÄjuma mÄrogojamÄ«bu lÄ«dz pat desmitiem tÅ«kstoÅ”u ierÄ«Äu vienÄ tÄ«klÄ.
Visi signalizÄcijas savienojumi (kontrolleris-kontrolleris, kontrolleris-marÅ”rutÄtÄjs) arÄ« ir aizsargÄti, pamatojoties uz DTLS/TLS. MarÅ”rutÄtÄji ražoÅ”anas laikÄ ir aprÄ«koti ar droŔības sertifikÄtiem ar iespÄju nomainÄ«t/pagarinÄt. Divu faktoru autentifikÄcija tiek panÄkta, obligÄti un vienlaikus izpildot divus nosacÄ«jumus, lai marÅ”rutÄtÄjs/kontrolleris darbotos SD-WAN tÄ«klÄ:
- DerÄ«gs droŔības sertifikÄts
- Administrators skaidri un apzinÄti iekļauj katra komponenta ābaltajÄā atļauto ierÄ«Äu sarakstÄ.
FunkcionÄlÄs atŔķirÄ«bas starp SD-WAN un DMVPN/PfR
PÄrejot pie funkcionÄlo atŔķirÄ«bu iztirzÄÅ”anas, jÄatzÄ«mÄ, ka daudzas no tÄm ir arhitektonisko turpinÄjums - nav noslÄpums, ka, veidojot risinÄjuma arhitektÅ«ru, izstrÄdÄtÄji iziet no iespÄjÄm, kuras galu galÄ vÄlas iegÅ«t. ApskatÄ«sim bÅ«tiskÄkÄs atŔķirÄ«bas starp abÄm tehnoloÄ£ijÄm.
AppQ (Application Quality) ā funkcijas, lai nodroÅ”inÄtu biznesa lietojumprogrammu trafika pÄrraides kvalitÄti
AplÅ«kojamo tehnoloÄ£iju galvenÄs funkcijas ir vÄrstas uz to, lai pÄc iespÄjas vairÄk uzlabotu lietotÄja pieredzi, izmantojot biznesam svarÄ«gas lietojumprogrammas izplatÄ«tajÄ tÄ«klÄ. ÄŖpaÅ”i svarÄ«gi tas ir apstÄkļos, kad daļu infrastruktÅ«ras nekontrolÄ IT vai pat negarantÄ veiksmÄ«gu datu pÄrraidi.
DMVPN pats nenodroÅ”ina Å”Ädus mehÄnismus. LabÄkais, ko var izdarÄ«t klasiskajÄ DMVPN tÄ«klÄ, ir klasificÄt izejoÅ”o trafiku pÄc lietojumprogrammas un noteikt to prioritÄti, kad tÄ tiek pÄrraidÄ«ta uz WAN kanÄlu. DMVPN tuneļa izvÄli Å”ajÄ gadÄ«jumÄ nosaka tikai tÄ pieejamÄ«ba un marÅ”rutÄÅ”anas protokolu darbÄ«bas rezultÄts. TajÄ paÅ”Ä laikÄ ceļa/tuneļa stÄvoklis no gala lÄ«dz galam un tÄ iespÄjamÄ daļÄja degradÄcija netiek Åemta vÄrÄ attiecÄ«bÄ uz galvenajiem rÄdÄ«tÄjiem, kas ir nozÄ«mÄ«gi tÄ«kla lietojumprogrammÄm - aizkave, aizkaves izmaiÅas (trÄ«ce) un zudumi (% ). Å ajÄ sakarÄ, tieÅ”i salÄ«dzinot klasisko DMVPN ar SD-WAN AppQ problÄmu risinÄÅ”anas ziÅÄ, tiek zaudÄta visa nozÄ«me - DMVPN nevar atrisinÄt Å”o problÄmu. Ja Å”im kontekstam pievienojat Cisco Performance Routing (PfR) tehnoloÄ£iju, situÄcija mainÄs un salÄ«dzinÄÅ”ana ar Cisco SD-WAN kļūst nozÄ«mÄ«gÄka.
Pirms mÄs apspriežam atŔķirÄ«bas, Å”eit ir Ä«ss ieskats tehnoloÄ£iju lÄ«dzÄ«bÄs. TÄtad, abas tehnoloÄ£ijas:
- ir mehÄnisms, kas ļauj dinamiski novÄrtÄt katra izveidotÄ tuneļa stÄvokli, Åemot vÄrÄ noteiktus rÄdÄ«tÄjus - pÄc minimuma, aizkaves, aizkaves variÄcijas un pakeÅ”u zuduma (%)
- izmantot Ä«paÅ”u rÄ«ku komplektu, lai veidotu, izplatÄ«tu un piemÄrotu satiksmes pÄrvaldÄ«bas noteikumus (politiku), Åemot vÄrÄ galveno tuneļa rÄdÄ«tÄju stÄvokļa mÄrÄ«Å”anas rezultÄtus.
- klasificÄt lietojumprogrammu trafiku OSI modeļa L3-L4 (DSCP) lÄ«menÄ« vai pÄc L7 lietojumprogrammu parakstiem, pamatojoties uz marÅ”rutÄtÄjÄ iebÅ«vÄtiem DPI mehÄnismiem
- NozÄ«mÄ«gÄm lietojumprogrammÄm tie ļauj noteikt pieļaujamÄs metrikas sliekÅ”Åa vÄrtÄ«bas, noteikumus trafika pÄrsÅ«tÄ«Å”anai pÄc noklusÄjuma un noteikumus trafika marÅ”rutÄÅ”anai, ja sliekÅ”Åa vÄrtÄ«bas tiek pÄrsniegtas.
- IekapsulÄjot trafiku GRE/IPSec, viÅi izmanto jau izveidoto nozares mehÄnismu iekÅ”Äjo DSCP marÄ·Äjumu pÄrsÅ«tÄ«Å”anai uz ÄrÄjo GRE/IPSEC pakeÅ”u galveni, kas ļauj sinhronizÄt organizÄcijas un telekomunikÄciju operatora QoS politikas (ja ir atbilstoÅ”s SLA) .
KÄ atŔķiras SD-WAN un DMVPN/PfR metrika no gala lÄ«dz galam?
DMVPN/PfR
- Lai novÄrtÄtu standarta tuneļa veselÄ«bas rÄdÄ«tÄjus, tiek izmantoti gan aktÄ«vie, gan pasÄ«vie programmatÅ«ras sensori (zondes). AktÄ«vÄs ir balstÄ«tas uz lietotÄju trafiku, pasÄ«vÄs atdarina Å”Ädu trafiku (ja tÄs nav).
- Taimeru un degradÄcijas noteikÅ”anas apstÄkļu precÄ«za regulÄÅ”ana nav veikta - algoritms ir fiksÄts.
- TurklÄt ir pieejams izmantotÄ joslas platuma mÄrÄ«jums izejoÅ”Ä virzienÄ. Kas pievieno papildu trafika pÄrvaldÄ«bas elastÄ«bu DMVPN/PfR.
- TajÄ paÅ”Ä laikÄ daži PfR mehÄnismi, ja tiek pÄrsniegti rÄdÄ«tÄji, paļaujas uz atgriezeniskÄs saites signÄlu Ä«paÅ”u TCA (Threshold Crossing Alert) ziÅojumu veidÄ, kam jÄnÄk no satiksmes saÅÄmÄja virzienÄ uz avotu, kas savukÄrt pieÅem, ka izmÄrÄ«tajiem kanÄliem jÄbÅ«t vismaz pietiekamiem Å”Ädu TCA ziÅojumu pÄrraidÄ«Å”anai. Kas vairumÄ gadÄ«jumu nav problÄma, bet acÄ«mredzami to nevar garantÄt.
SD WAN
- Standarta tuneļa stÄvokļa metrikas pilnÄ«gai novÄrtÄÅ”anai BFD protokols tiek izmantots atbalss režīmÄ. Å ajÄ gadÄ«jumÄ Ä«paÅ”a atgriezeniskÄ saite TCA vai lÄ«dzÄ«gu ziÅojumu veidÄ nav nepiecieÅ”ama - tiek saglabÄta kļūmju domÄnu izolÄcija. Lai novÄrtÄtu tuneļa stÄvokli, nav nepiecieÅ”ama arÄ« lietotÄju trafika klÄtbÅ«tne.
- Ir iespÄjams precÄ«zi noregulÄt BFD taimerus, lai regulÄtu reakcijas Ätrumu un algoritma jutÄ«gumu pret sakaru kanÄla degradÄciju no vairÄkÄm sekundÄm lÄ«dz minÅ«tÄm.
- RakstÄ«Å”anas laikÄ katrÄ tunelÄ« ir tikai viena BFD sesija. Tas potenciÄli rada mazÄku tuneļa stÄvokļa analÄ«zi. PatiesÄ«bÄ tas var kļūt par ierobežojumu tikai tad, ja izmantojat WAN savienojumu, kura pamatÄ ir MPLS L2/L3 VPN ar saskaÅotu QoS SLA ā ja BFD trafika DSCP marÄ·Äjums (pÄc iekapsulÄÅ”anas IPSec/GRE) atbilst augstas prioritÄtes rindai telekomunikÄciju operatora tÄ«klÄ, tas var ietekmÄt zemas prioritÄtes trafika degradÄcijas noteikÅ”anas precizitÄti un Ätrumu. TajÄ paÅ”Ä laikÄ ir iespÄjams mainÄ«t noklusÄjuma BFD marÄ·Äjumu, lai samazinÄtu Å”Ädu situÄciju risku. TurpmÄkajÄs Cisco SD-WAN programmatÅ«ras versijÄs ir sagaidÄmi precÄ«zÄki BFD iestatÄ«jumi, kÄ arÄ« iespÄja palaist vairÄkas BFD sesijas vienÄ tunelÄ« ar atseviŔķÄm DSCP vÄrtÄ«bÄm (dažÄdÄm lietojumprogrammÄm).
- BFD papildus ļauj novÄrtÄt maksimÄlo pakeÅ”u lielumu, ko var pÄrsÅ«tÄ«t pa noteiktu tuneli bez sadrumstalotÄ«bas. Tas ļauj SD-WAN dinamiski pielÄgot tÄdus parametrus kÄ MTU un TCP MSS Adjust, lai maksimÄli izmantotu pieejamo joslas platumu katrÄ saitÄ.
- SD-WAN ir pieejama arÄ« QoS sinhronizÄcijas iespÄja no telekomunikÄciju operatoriem, ne tikai pamatojoties uz L3 DSCP laukiem, bet arÄ« pamatojoties uz L2 CoS vÄrtÄ«bÄm, kuras var automÄtiski Ä£enerÄt filiÄļu tÄ«klÄ ar specializÄtÄm ierÄ«cÄm - piemÄram, IP. tÄlruÅi
KÄ atŔķiras AppQ politiku definÄÅ”anas un piemÄroÅ”anas iespÄjas, metodes?
DMVPN/PfR politikas:
- DefinÄts centrÄlajÄ(-s) filiÄles marÅ”rutÄtÄjÄ(-os), izmantojot CLI komandrindu vai CLI konfigurÄcijas veidnes. CLI veidÅu Ä£enerÄÅ”anai ir nepiecieÅ”ama sagatavoÅ”anÄs un zinÄÅ”anas par politikas sintakse.
- DefinÄts globÄli bez individuÄlas konfigurÄcijas/izmaiÅas iespÄjas atseviŔķu tÄ«kla segmentu prasÄ«bÄm.
- GrafiskajÄ saskarnÄ nav nodroÅ”inÄta interaktÄ«va politikas Ä£enerÄÅ”ana.
- IzmaiÅu izsekoÅ”ana, mantoÅ”ana un vairÄku politiku versiju izveide Ätrai pÄrslÄgÅ”anai netiek nodroÅ”inÄta.
- AutomÄtiski tiek izplatÄ«ts attÄlo filiÄļu marÅ”rutÄtÄjiem. Å ajÄ gadÄ«jumÄ tiek izmantoti tie paÅ”i sakaru kanÄli, kas tiek izmantoti lietotÄja datu pÄrsÅ«tÄ«Å”anai. Ja nav sakaru kanÄla starp centrÄlo un attÄlo filiÄli, politiku izplatÄ«Å”ana/maiÅa nav iespÄjama.
- Tie tiek izmantoti katrÄ marÅ”rutÄtÄjÄ un, ja nepiecieÅ”ams, modificÄ standarta marÅ”rutÄÅ”anas protokolu rezultÄtu ar augstÄku prioritÄti.
- GadÄ«jumos, kad visas filiÄles WAN saites piedzÄ«vo ievÄrojamus trafika zudumus, nav paredzÄti kompensÄcijas mehÄnismi.
SD-WAN politikas:
- DefinÄts vManage GUI, izmantojot interaktÄ«vo veidÅu vedni.
- Atbalsta vairÄku politiku izveidi, kopÄÅ”anu, mantoÅ”anu, pÄrslÄgÅ”anos starp politikÄm reÄllaikÄ.
- Atbalsta atseviŔķus politikas iestatÄ«jumus dažÄdiem tÄ«kla segmentiem (filiÄlÄm)
- Tie tiek izplatÄ«ti, izmantojot jebkuru pieejamo signÄla kanÄlu starp kontrolieri un marÅ”rutÄtÄju un/vai vSmart ā tie nav tieÅ”i atkarÄ«gi no datu plaknes savienojamÄ«bas starp marÅ”rutÄtÄjiem. Tas, protams, prasa IP savienojumu starp paÅ”u marÅ”rutÄtÄju un kontrolieriem.
- GadÄ«jumos, kad visas pieejamÄs filiÄles filiÄles piedzÄ«vo ievÄrojamus datu zudumus, kas pÄrsniedz kritisko lietojumprogrammu pieļaujamos sliekÅ”Åus, ir iespÄjams izmantot papildu mehÄnismus, kas palielina pÄrraides uzticamÄ«bu:
- FEC (forward Error Correction) ā izmanto Ä«paÅ”u lieku kodÄÅ”anas algoritmu. PÄrraidot kritisko trafiku pa kanÄliem ar ievÄrojamu zaudÄjumu procentu, FEC var tikt automÄtiski aktivizÄts un vajadzÄ«bas gadÄ«jumÄ Ä¼auj atjaunot zaudÄto datu daļu. Tas nedaudz palielina izmantoto pÄrraides joslas platumu, bet ievÄrojami uzlabo uzticamÄ«bu.
- Datu straumju dublÄÅ”anÄs ā Papildus FEC polise var paredzÄt automÄtisku atlasÄ«to aplikÄciju trafika dublÄÅ”anu, ja rodas vÄl nopietnÄks zaudÄjumu lÄ«menis, ko FEC nevar kompensÄt. Å ajÄ gadÄ«jumÄ atlasÄ«tie dati tiks pÄrsÅ«tÄ«ti pa visiem tuneļiem uz saÅÄmÄju filiÄli ar sekojoÅ”u dublÄÅ”anas atcelÅ”anu (pakeÅ”u papildu kopiju nomeÅ”ana). MehÄnisms ievÄrojami palielina kanÄlu izmantoÅ”anu, bet arÄ« ievÄrojami palielina pÄrraides uzticamÄ«bu.
Cisco SD-WAN iespÄjas bez tieÅ”iem analogiem DMVPN/PfR
Cisco SD-WAN risinÄjuma arhitektÅ«ra dažos gadÄ«jumos ļauj iegÅ«t iespÄjas, kuras ir vai nu ÄrkÄrtÄ«gi grÅ«ti ieviest DMVPN/PfR ietvaros, vai arÄ« ir nepraktiskas nepiecieÅ”amo darbaspÄka izmaksu dÄļ, vai arÄ« ir pilnÄ«gi neiespÄjamas. ApskatÄ«sim interesantÄkos no tiem:
Satiksmes inženierija (TE)
TE ietver mehÄnismus, kas ļauj satiksmei atzaroties pa standarta ceļu, ko veido marÅ”rutÄÅ”anas protokoli. TE bieži izmanto, lai nodroÅ”inÄtu augstu tÄ«kla pakalpojumu pieejamÄ«bu, spÄju Ätri un/vai proaktÄ«vi pÄrsÅ«tÄ«t kritisko trafiku uz alternatÄ«vu (atdalÄ«tu) pÄrraides ceļu, lai nodroÅ”inÄtu labÄku pakalpojuma kvalitÄti vai atkopÅ”anas Ätrumu kļūmes gadÄ«jumÄ. uz galvenÄ ceļa.
TE ievieÅ”anas grÅ«tÄ«bas ir saistÄ«tas ar nepiecieÅ”amÄ«bu iepriekÅ” aprÄÄ·inÄt un rezervÄt (pÄrbaudÄ«t) alternatÄ«vu ceļu. TelekomunikÄciju operatoru MPLS tÄ«klos Ŕī problÄma tiek atrisinÄta, izmantojot tÄdas tehnoloÄ£ijas kÄ MPLS Traffic-Engineering ar IGP protokolu un RSVP protokola paplaÅ”inÄjumiem. PÄdÄjÄ laikÄ arvien populÄrÄka ir kļuvusi arÄ« Segment Routing tehnoloÄ£ija, kas ir vairÄk optimizÄta centralizÄtai konfigurÄcijai un orÄ·estrÄÅ”anai. Klasiskajos WAN tÄ«klos Ŕīs tehnoloÄ£ijas parasti nav pÄrstÄvÄtas vai tiek reducÄtas lÄ«dz lÄcienveida mehÄnismu izmantoÅ”anai, piemÄram, uz politiku balstÄ«ta marÅ”rutÄÅ”ana (PBR), kas spÄj sazarot trafiku, bet ievieÅ” to katrÄ marÅ”rutÄtÄjÄ atseviŔķi, neizmantojot Åem vÄrÄ kopÄjo tÄ«kla stÄvokli vai PBR rezultÄtu iepriekÅ”ÄjÄs vai turpmÄkajÄs darbÄ«bÄs. Å o TE opciju izmantoÅ”anas rezultÄts ir neapmierinoÅ”s - MPLS TE konfigurÄcijas un darbÄ«bas sarežģītÄ«bas dÄļ parasti tiek izmantots tikai vissvarÄ«gÄkajÄ tÄ«kla daÄ¼Ä (kodolÄ), un PBR tiek izmantots atseviŔķiem marÅ”rutÄtÄjiem bez iespÄja izveidot vienotu PBR politiku visam tÄ«klam. AcÄ«mredzot tas attiecas arÄ« uz tÄ«kliem, kuru pamatÄ ir DMVPN.
SD-WAN Å”ajÄ ziÅÄ piedÄvÄ daudz elegantÄku risinÄjumu, kas ir ne tikai viegli konfigurÄjams, bet arÄ« daudz labÄk mÄrogojams. Tas ir izmantotÄs vadÄ«bas plaknes un politikas plaknes arhitektÅ«ras rezultÄts. Politikas plaknes ievieÅ”ana SD-WAN ļauj centralizÄti definÄt TE politiku ā kÄda satiksme interesÄ? kuriem VPN? Caur kuriem mezgliem/tuneļiem ir nepiecieÅ”ams vai, tieÅ”i otrÄdi, aizliegts veidot alternatÄ«vu marÅ”rutu? SavukÄrt vadÄ«bas plaknes vadÄ«bas centralizÄcija, kuras pamatÄ ir vSmart kontrolleri, ļauj modificÄt marÅ”rutÄÅ”anas rezultÄtus, neizmantojot atseviŔķu ierÄ«Äu iestatÄ«jumus ā marÅ”rutÄtÄji jau redz tikai tÄs loÄ£ikas rezultÄtu, kas tika Ä£enerÄta vManage saskarnÄ un nodota lietoÅ”anai vSmart.
Pakalpojumu Ä·Äde
Pakalpojumu Ä·Äžu veidoÅ”ana klasiskajÄ marÅ”rutÄÅ”anÄ ir vÄl darbietilpÄ«gÄks uzdevums nekÄ jau aprakstÄ«tais Satiksmes inženierijas mehÄnisms. PatieÅ”Äm, Å”ajÄ gadÄ«jumÄ ir nepiecieÅ”ams ne tikai izveidot Ä«paÅ”u marÅ”rutu konkrÄtai tÄ«kla lietojumprogrammai, bet arÄ« nodroÅ”inÄt iespÄju noÅemt trafiku no tÄ«kla noteiktos (vai visos) SD-WAN tÄ«kla mezglos, lai to apstrÄdÄtu. Ä«paÅ”a lietojumprogramma vai pakalpojums (ugunsmÅ«ris, balansÄÅ”ana, keÅ”atmiÅa, pÄrbaudes trafiks utt.). TajÄ paÅ”Ä laikÄ ir jÄspÄj kontrolÄt Å”o ÄrÄjo pakalpojumu stÄvokli, lai novÄrstu melnÄ holinga situÄcijas, kÄ arÄ« ir nepiecieÅ”ami mehÄnismi, kas ļauj izvietot Å”Ädus viena veida ÄrÄjos pakalpojumus dažÄdÄs Ä£eogrÄfiskÄs vietÄs. ar tÄ«kla iespÄju automÄtiski izvÄlÄties optimÄlÄko servisa mezglu konkrÄtas filiÄles trafika apstrÄdei. Cisco SD-WAN gadÄ«jumÄ to ir diezgan viegli panÄkt, izveidojot atbilstoÅ”u centralizÄtu politiku, kas āsalÄ«mÄā visus mÄrÄ·a pakalpojumu Ä·Ädes aspektus vienÄ veselumÄ un automÄtiski maina datu plaknes un vadÄ«bas plaknes loÄ£iku tikai tad, ja un kad nepiecieÅ”ams.
IespÄja izveidot Ä£eogrÄfiski sadalÄ«tu atlasÄ«to lietojumprogrammu veidu trafika apstrÄdi noteiktÄ secÄ«bÄ specializÄtÄ (bet ne ar paÅ”u SD-WAN tÄ«klu saistÄ«tÄ) iekÄrtÄ, iespÄjams, ir visskaidrÄkais Cisco SD-WAN priekÅ”rocÄ«bu demonstrÄjums salÄ«dzinÄjumÄ ar klasisko. tehnoloÄ£ijas un pat daži alternatÄ«vi SD risinÄjumi -WAN no citiem ražotÄjiem.
RezultÄts?
AcÄ«mredzot gan DMVPN (ar vai bez veiktspÄjas marÅ”rutÄÅ”anas), gan Cisco SD-WAN galu galÄ atrisina ļoti lÄ«dzÄ«gas problÄmas saistÄ«bÄ ar organizÄcijas izplatÄ«to WAN tÄ«klu. TajÄ paÅ”Ä laikÄ ievÄrojamas arhitektÅ«ras un funkcionÄlÄs atŔķirÄ«bas Cisco SD-WAN tehnoloÄ£ijÄ noved pie Å”o problÄmu risinÄÅ”anas procesa. uz citu kvalitÄtes lÄ«meni. RezumÄjot, mÄs varam atzÄ«mÄt Å”Ädas bÅ«tiskas atŔķirÄ«bas starp SD-WAN un DMVPN/PfR tehnoloÄ£ijÄm:
- DMVPN/PfR parasti izmanto laika pÄrbaudÄ«tas tehnoloÄ£ijas pÄrklÄjuma VPN tÄ«klu veidoÅ”anai un datu plaknes ziÅÄ ir lÄ«dzÄ«gas modernÄkai SD-WAN tehnoloÄ£ijai, tomÄr ir vairÄki ierobežojumi obligÄtÄs statiskÄs konfigurÄcijas veidÄ. marÅ”rutÄtÄju un topoloÄ£iju izvÄle ir ierobežota ar Hub-n-Spoke. No otras puses, DMVPN/PfR ir dažas funkcijas, kas vÄl nav pieejamas SD-WAN (mÄs runÄjam par BFD katrai lietojumprogrammai).
- VadÄ«bas plaknÄ tehnoloÄ£ijas bÅ«tiski atŔķiras. Å emot vÄrÄ signalizÄcijas protokolu centralizÄto apstrÄdi, SD-WAN jo Ä«paÅ”i ļauj ievÄrojami saÅ”aurinÄt kļūmju domÄnus un āatsaistÄ«tā lietotÄja trafika pÄrsÅ«tÄ«Å”anas procesu no signalizÄcijas mijiedarbÄ«bas - kontrolieru Ä«slaicÄ«ga nepieejamÄ«ba neietekmÄ spÄju pÄrraidÄ«t lietotÄja trafiku. . TajÄ paÅ”Ä laikÄ jebkuras filiÄles (arÄ« centrÄlÄs) Ä«slaicÄ«ga nepieejamÄ«ba nekÄdÄ veidÄ neietekmÄ citu filiÄļu spÄju mijiedarboties savÄ starpÄ un kontrolieriem.
- ArÄ« trafika pÄrvaldÄ«bas politiku veidoÅ”anas un piemÄroÅ”anas arhitektÅ«ra SD-WAN gadÄ«jumÄ ir pÄrÄka par DMVPN/PfR - Ä£eogrÄfiskÄ rezervÄcija ir daudz labÄk ieviesta, nav savienojuma ar centrmezglu, ir lielÄkas naudas soda iespÄjas -skaÅoÅ”anas politikas, arÄ« ieviesto satiksmes pÄrvaldÄ«bas scenÄriju saraksts ir daudz lielÄks.
- ArÄ« risinÄjuma orÄ·estrÄÅ”anas process bÅ«tiski atŔķiras. DMVPN pieÅem iepriekÅ” zinÄmu parametru klÄtbÅ«tni, kas kaut kÄdÄ veidÄ jÄatspoguļo konfigurÄcijÄ, kas nedaudz ierobežo risinÄjuma elastÄ«bu un dinamisku izmaiÅu iespÄju. SavukÄrt SD-WAN pamatÄ ir paradigma, ka sÄkotnÄjÄ savienojuma brÄ«dÄ« marÅ”rutÄtÄjs āneko nezinaā par saviem kontrolieriem, bet zina, ākam var jautÄtā ā ar to pietiek ne tikai, lai automÄtiski izveidotu saziÅu ar kontrolieriem, bet arÄ« automÄtiski veidot pilnÄ«bÄ savienotu datu plaknes topoloÄ£iju, ko pÄc tam var elastÄ«gi konfigurÄt/mainÄ«t, izmantojot politikas.
- Paredzams, ka centralizÄtÄs pÄrvaldÄ«bas, automatizÄcijas un uzraudzÄ«bas ziÅÄ SD-WAN pÄrspÄs DMVPN/PfR iespÄjas, kas ir attÄ«stÄ«juÅ”Äs no klasiskajÄm tehnoloÄ£ijÄm un vairÄk paļaujas uz CLI komandrindu un uz veidnÄm balstÄ«tu NMS sistÄmu izmantoÅ”anu.
- SD-WAN, salÄ«dzinot ar DMVPN, droŔības prasÄ«bas ir sasnieguÅ”as citu kvalitatÄ«vu lÄ«meni. Galvenie principi ir nulles uzticamÄ«ba, mÄrogojamÄ«ba un divu faktoru autentifikÄcija.
Å ie vienkÄrÅ”ie secinÄjumi var radÄ«t nepareizu iespaidu, ka tÄ«kla izveide, pamatojoties uz DMVPN/PfR, mÅ«sdienÄs ir zaudÄjusi savu nozÄ«mi. Tas, protams, nav pilnÄ«gi taisnÄ«ba. PiemÄram, gadÄ«jumos, kad tÄ«klÄ tiek izmantots daudz novecojuÅ”u iekÄrtu un nav iespÄjas to nomainÄ«t, DMVPN var ļaut apvienot āvecÄsā un ājaunÄsā ierÄ«ces vienÄ Ä£eogrÄfiski sadalÄ«tÄ tÄ«klÄ ar daudzÄm no aprakstÄ«tajÄm priekÅ”rocÄ«bÄm. virs.
No otras puses, jÄatceras, ka visi paÅ”reizÄjie Cisco korporatÄ«vie marÅ”rutÄtÄji, kuru pamatÄ ir IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v), Å”odien atbalsta jebkuru darbÄ«bas režīmu - gan klasisko marÅ”rutÄÅ”anu, gan DMVPN un SD-WAN - izvÄli nosaka aktuÄlÄs vajadzÄ«bas un izpratne, ka jebkurÄ brÄ«dÄ«, izmantojot vienu un to paÅ”u aprÄ«kojumu, var sÄkt virzÄ«ties uz progresÄ«vÄkÄm tehnoloÄ£ijÄm.
Avots: www.habr.com