ProHoster > Blog > fitantanan-draharaha > Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Hatramin'ny volana aogositra 2017, rehefa nahazo an'i Viptela ny Cisco, ny teknolojia lehibe atolotra amin'ny fandaminana ny tambajotran'ny orinasa mizara dia lasa Cisco SD-WAN. Nandritra ny 3 taona lasa, ny teknolojia SD-WAN dia nandalo fiovana maro, na qualitative na quantitative. Noho izany, nitombo be ny fampiasa ary nipoitra ny fanohanana tamin'ny router mahazatra an'ilay andiany Cisco ISR 1000, ISR 4000, ASR 1000 ary CSR virtoaly 1000v. Mandritra izany fotoana izany, maro ny mpanjifa sy mpiara-miombon'antoka Cisco mbola manontany tena hoe: inona no maha samy hafa ny Cisco SD-WAN sy ny fomba efa mahazatra mifototra amin'ny teknolojia toy ny Cisco DMVPN и Cisco Performance Routing ary inona no maha-zava-dehibe ireo fahasamihafana ireo?

Eto isika dia tokony hanao famandrihana avy hatrany fa talohan'ny nahatongavan'ny SD-WAN ao amin'ny portfolio-n'ny Cisco, DMVPN miaraka amin'ny PfR dia namorona ampahany lehibe amin'ny maritrano. Cisco IWAN (Intelligent WAN), izay nialoha ny teknolojia SD-WAN feno. Na dia eo aza ny fitoviana ankapobeny amin'ireo asa voavaha sy ny fomba famahana azy ireo, ny IWAN dia tsy nahazo ny haavon'ny automatique, ny flexibility ary ny scalability ilaina amin'ny SD-WAN, ary rehefa nandeha ny fotoana dia nihena be ny fivoaran'ny IWAN. Mandritra izany fotoana izany, ny teknolojia mandrafitra IWAN dia tsy lasa, ary maro ny mpanjifa mbola mampiasa azy ireo amim-pahombiazana, anisan'izany ny fitaovana maoderina. Vokatr'izany dia nisy toe-javatra mahaliana nipoitra - ny fitaovana Cisco mitovy dia ahafahanao misafidy ny teknolojia WAN mety indrindra (classic, DMVPN+PfR na SD-WAN) mifanaraka amin'ny fepetra sy andrasan'ny mpanjifa.

Ny lahatsoratra dia tsy mikasa ny hamakafaka amin'ny antsipiriany ny endri-javatra rehetra amin'ny teknolojia Cisco SD-WAN sy DMVPN (miaraka na tsy misy Performance Routing) - misy antontan-taratasy sy fitaovana be dia be ho an'izany. Ny tena asa dia ny manandrana manombana ny fahasamihafana lehibe eo amin'ireo teknolojia ireo. Saingy alohan'ny hirosoana amin'ny fifanakalozan-kevitra momba ireo fahasamihafana ireo dia andeha hotsaroantsika fohifohy ireo teknolojia ireo.

Inona ny Cisco DMVPN ary nahoana no ilaina izany?

Cisco DMVPN dia mamaha ny olan'ny fifandraisana mavitrika (= scalable) amin'ny tambajotra sampana lavitra mankany amin'ny tambajotran'ny birao foibe amin'ny orinasa iray rehefa mampiasa karazana fantsom-pifandraisana tsy misy dikany, anisan'izany ny Internet (= miaraka amin'ny fanafenana ny fantsona fifandraisana). Ara-teknika, izany dia tanteraka amin'ny alalan'ny famoronana tambajotra virtoaly overlay kilasy L3 VPN amin'ny point-to-multipoint mode miaraka amin'ny lojika lojika karazana "Star" (Hub-n-Spoke). Mba hahatratrarana izany, DMVPN dia mampiasa fitambaran'ireto teknolojia manaraka ireto:

  • IP routing
  • Tonelina GRE marobe (mGRE)
  • Manaraka Hop Resolution Protocol (NHRP)
  • IPSec Crypto profil

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Inona no tombony lehibe amin'ny Cisco DMVPN raha oharina amin'ny lalana mahazatra mampiasa fantsona MPLS VPN?

  • Mba hamoronana tambajotra interbranch dia azo atao ny mampiasa fantsona fifandraisana rehetra - izay rehetra afaka manome fifandraisana IP eo amin'ny sampana dia mety, raha toa ka atao encryption ny fifamoivoizana (raha ilaina) ary voalanjalanja (raha azo atao)
  • Ny topologie mifamatotra tanteraka eo amin'ny sampana dia miforona ho azy. Mandritra izany fotoana izany, misy tonelina static eo anelanelan'ny sampana afovoany sy lavitra, ary tonelina mavitrika amin'ny fangatahana eo anelanelan'ny sampana lavitra (raha misy fifamoivoizana)
  • Ny routers amin'ny sampana afovoany sy lavitra dia manana rafitra mitovy amin'ny adiresy IP an'ny fifandraisana. Amin'ny fampiasana mGRE dia tsy ilaina ny manamboatra tonelina am-polony, an-jatony, na an'arivony mihitsy aza. Vokatr'izany, scalability mendrika amin'ny endrika mety.

Inona no atao hoe Cisco Performance Routing ary nahoana no ilaina izany?

Rehefa mampiasa DMVPN amin'ny tambajotram-pifandraisana, dia mbola tsy voavaha ny fanontaniana iray tena manan-danja - ny fomba hanombanana amin'ny fomba mavitrika ny toetry ny tonelina DMVPN tsirairay amin'ny fanarahana ny fepetra takian'ny fifamoivoizana ho an'ny fikambananay ary, indray, mifototra amin'ny fanombanana toy izany, manao dynamically fanapahan-kevitra amin'ny famerenana ny lalana? Ny zava-misy dia ny DMVPN amin'ity ampahany ity dia tsy mitovy amin'ny lalana mahazatra - ny tsara indrindra azo atao dia ny manamboatra ny mekanika QoS izay ahafahanao mametraka laharam-pahamehana ny fifamoivoizana amin'ny lalana mivoaka, saingy tsy afaka mandinika ny toetry ny ny lalana manontolo amin'ny fotoana iray na hafa.

Ary inona no tokony hatao raha miharatsy ampahany fa tsy tanteraka ny fantsona - ahoana no hamantarana sy hanombanana izany? DMVPN mihitsy no tsy afaka manao izany. Raha jerena fa ny fantsona mampifandray ny sampana dia afaka mandalo amin'ireo mpandraharahan'ny fifandraisandavitra samy hafa tanteraka, amin'ny fampiasana teknolojia hafa tanteraka, ity asa ity dia lasa tsy misy dikany. Ary teo no nanavotra ny teknolojia Cisco Performance Routing, izay efa nandalo dingana maromaro tamin'ny fampandrosoana.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Ny andraikitry ny Cisco Performance Routing (manaraka izany PfR) dia midina amin'ny fandrefesana ny toetry ny lalana (tunnel) amin'ny fifamoivoizana mifototra amin'ny metrika manan-danja ho an'ny fampiharana amin'ny tambajotra - latency, fiovaovan'ny latency (jitter) ary fahaverezan'ny fonosana (isan-jato). Ankoatra izany, ny bandwidth ampiasaina dia azo refesina. Ireo fandrefesana ireo dia mitranga amin'ny fotoana tena izy araka izay azo atao ary ara-drariny, ary ny vokatr'ireo fandrefesana ireo dia ahafahan'ny router mampiasa PfR handray fanapahan-kevitra amin'ny fomba mavitrika momba ny filàna hanovana ny lalan'ity na ity karazana fifamoivoizana ity.

Noho izany, ny asan'ny fitambaran'ny DMVPN/PfR dia azo faritana fohifohy toy izao manaraka izao:

  • Avelao ny mpanjifa hampiasa fantsona fifandraisana amin'ny tambajotra WAN
  • Miantoka ny kalitao avo indrindra amin'ny fampiharana manakiana amin'ireo fantsona ireo

Inona ny Cisco SD-WAN?

Cisco SD-WAN dia teknôlôjia iray mampiasa ny fomba SDN mba hamoronana sy hampandehanana ny tambajotra WAN an'ny fikambanana. Midika manokana izany ny fampiasana ireo antsoina hoe controllers (singa rindrankajy), izay manome orkestra ifotony sy fanamafisana mandeha ho azy ny singa vahaolana rehetra. Tsy toy ny SDN kanônika (style Slate madio), ny Cisco SD-WAN dia mampiasa karazana mpanara-maso maromaro, izay samy manao ny andraikiny manokana - izany dia natao niniana natao mba hanomezana scalability tsara kokoa sy geo-redundancy.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Raha ny SD-WAN, ny asa amin'ny fampiasana karazana fantsona rehetra ary miantoka ny fampandehanana ny rindranasa fandraharahana dia tsy miova, fa miaraka amin'izay koa, miitatra ny fepetra takian'ny automation, scalability, fiarovana ary ny fahafahan'ny tambajotra toy izany.

Fifanakalozan-kevitra momba ny fahasamihafana

Raha manomboka mamakafaka ny fahasamihafana misy eo amin'ireo teknolojia ireo isika izao, dia ho tafiditra ao anatin'ny iray amin'ireto sokajy manaraka ireto izy ireo:

  • Fahasamihafana ara-javakanto - ahoana no fizarana ny fiasa amin'ny singa samihafa amin'ny vahaolana, ahoana no fandaminana ny fifandraisana amin'ireo singa ireo, ary ahoana no fiantraikan'izany amin'ny fahaiza-manao sy ny fahafahan'ny teknolojia?
  • Functionality - inona no azon'ny teknolojia iray atao fa tsy vitan'ny hafa? Ary tena zava-dehibe tokoa ve izany?

Inona avy ireo fahasamihafana ara-javakanto ary manan-danja ve izy ireo?

Ny tsirairay amin'ireo teknolojia ireo dia manana "ampahany mihetsika" maro izay tsy mitovy amin'ny anjara asany, fa koa amin'ny fifandraisany amin'ny tsirairay. Ny fomba fieritreretana tsara ireo fitsipika ireo ary ny mekanika ankapoben'ny vahaolana dia mamaritra mivantana ny scalability, ny fandeferana ny fahadisoana ary ny fahombiazany amin'ny ankapobeny.

Andeha hojerentsika amin'ny antsipiriany bebe kokoa ny lafiny samihafa amin'ny maritrano:

Data-plane - ampahany amin'ny vahaolana tompon'andraikitra amin'ny fampitana ny fifamoivoizana mpampiasa eo amin'ny loharano sy ny mpandray. Ny DMVPN sy SD-WAN dia ampiharina amin'ny ankapobeny amin'ny router izay mifototra amin'ny tonelina Multipoint GRE. Ny maha-samihafa azy dia ny fomba fiforonan'ireo mari-pamantarana ilaina amin'ireo tonelina ireo:

  • в DMVPN/PfR dia ambaratonga roa ambaratonga tokana amin'ny node misy topolojia Star na Hub-n-Spoke. Ilaina ny fanamafisana static amin'ny Hub sy ny fatoran'ny Spoke to the Hub, ary koa ny fifandraisana amin'ny alàlan'ny protocol NHRP mba hamoronana fifandraisana amin'ny fiaramanidina data. Noho izany, ny fanovana ny Hub dia sarotra kokoamifandraika, ohatra, amin'ny fanovana/fampifandraisana ireo fantsona WAN vaovao na fanovana ny mason'ny efa misy.
  • в SD WAN dia maodely mavitrika tanteraka hamantarana ny mari-pamantarana amin'ny tonelina napetraka miorina amin'ny control-plane (OMP protocol) sy orchestration-plane (fifaneraserana amin'ny vBond controller ho an'ny fanaraha-maso ny fanaraha-maso sy ny asan'ny NAT traversal). Amin'ity tranga ity, ny topologie superimposed dia azo ampiasaina, ao anatin'izany ny hierarchical. Ao anatin'ny topologie tonelina misy overlay, dia azo atao ny manamboatra ny topolojia lojika amin'ny VPN(VRF) tsirairay.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Fiaramanidina fanaraha-maso - ny fiasan'ny fifanakalozana, ny sivana ary ny fanovana ny lalana sy ny fampahalalana hafa eo amin'ny singa vahaolana.

  • в DMVPN/PfR - eo anelanelan'ny Hub sy Spoke router ihany no tanterahana. Ny fifanakalozam-baovao mivantana eo amin'ny Spokes dia tsy azo atao. Noho izany, Raha tsy misy Hub miasa dia tsy afaka miasa ny fiaramanidina fanaraha-maso sy ny fiaramanidina data, izay mametraka fepetra avo lenta fanampiny amin'ny Hub izay tsy azo tanterahina foana.
  • в SD WAN - Ny fiaramanidina fanaraha-maso dia tsy atao mivantana eo anelanelan'ny router - ny fifandraisana dia mitranga amin'ny alàlan'ny protocol OMP ary tsy maintsy atao amin'ny alàlan'ny karazana vSmart manokana manokana, izay manome ny mety hisian'ny fifandanjana, famandrihana geo ary fanaraha-maso afovoany ny entana famantarana. Ny endri-javatra iray hafa amin'ny protocol OMP dia ny fanoherana lehibe amin'ny fatiantoka sy ny fahaleovan-tena amin'ny hafainganam-pandehan'ny fantsom-pifandraisana miaraka amin'ireo mpanara-maso (ao anatin'ny fetra azo antoka, mazava ho azy). Izay mahomby ihany koa dia ahafahanao mametraka SD-WAN controllers amin'ny rahona ho an'ny daholobe na manokana miaraka amin'ny fidirana amin'ny Internet.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Politique-plane - ampahany amin'ny vahaolana tompon'andraikitra amin'ny famaritana, fizarana ary fampiharana ny politikan'ny fitantanana ny fifamoivoizana amin'ny tambajotra iray.

  • DMVPN - dia voafetra amin'ny fomba mahomby amin'ny politikan'ny kalitaon'ny serivisy (QoS) namboarina tsirairay isaky ny router amin'ny alàlan'ny maodely CLI na Prime Infrastructure.
  • DMVPN/PfR - Ny politikan'ny PfR dia miforona amin'ny router Master Controller (MC) centralized amin'ny alàlan'ny CLI ary avy eo dia zaraina ho azy amin'ny MC sampana. Amin'ity tranga ity, ny lalana famindrana politika mitovy amin'ny an'ny fiaramanidina data. Tsy azo atao ny manasaraka ny fifanakalozana politika, ny fampahalalana momba ny lalana ary ny angona mpampiasa. Ny fampielezana ny politika dia mitaky ny fisian'ny fifandraisana IP eo amin'ny Hub sy Spoke. Amin'ity tranga ity, ny fiasa MC dia azo, raha ilaina, miaraka amin'ny router DMVPN. Azo atao (saingy tsy ilaina) ny mampiasa modely Prime Infrastructure ho an'ny famoronana politika afovoany. Ny endri-javatra manan-danja iray dia ny fiforonan'ny politika maneran-tany manerana ny tambajotra amin'ny fomba mitovy - Ny politikan'ny tsirairay ho an'ny fizarana tsirairay dia tsy tohana.
  • SD WAN – Ny fitantanana ny fifamoivoizana sy ny kalitaon'ny politikan'ny serivisy dia voafaritra amin'ny alalan'ny Cisco vManage graphic interface, azo idirana amin'ny Internet ihany koa (raha ilaina). Izy ireo dia zaraina amin'ny alalan'ny fantsona famantarana mivantana na ankolaka amin'ny alalan'ny vSmart controllers (miankina amin'ny karazana politika). Tsy miankina amin'ny fifandraisana angon-drakitra eo amin'ny router izy ireo, satria ampiasao ny lalan'ny fifamoivoizana rehetra misy eo anelanelan'ny controller sy ny router.

    Ho an'ny sehatra tambajotra samihafa, azo atao ny mamolavola politika samihafa - ny sahan'ny politika dia voafaritra amin'ny alàlan'ny famantarana tokana tsy manam-paharoa omena ao amin'ny vahaolana - laharan'ny sampana, karazana fampiharana, torolàlana fifamoivoizana, sns.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Orkestra-fiaramanidina - mekanika ahafahan'ny singa mifanatrika amin'ny fomba mavitrika, manamboatra ary mandrindra ny fifandraisana manaraka.

  • в DMVPN/PfR Mifototra amin'ny fikirakirana static an'ny fitaovana Hub sy ny fanamafisam-peo mifanandrify amin'ny fitaovana Spoke ny fifanampiana eo amin'ny router. Ho an'ny Spoke ihany no ahitana ny dynamic, izay mitatitra ny masontsivana fifandraisana Hub amin'ilay fitaovana, izay efa namboarina mialoha miaraka amin'ny Spoke. Raha tsy misy fifandraisana IP eo anelanelan'ny Spoke sy Hub iray farafahakeliny, dia tsy azo atao ny mamorona fiaramanidina data na fiaramanidina fanaraha-maso.
  • в SD WAN Ny fandrindrana ny singa vahaolana dia mitranga amin'ny fampiasana ny vBond controller, izay tsy maintsy ametrahan'ny singa tsirairay (router sy vManage/vSmart controllers) aloha ny fifandraisana IP.

    Amin'ny voalohany, ny singa dia tsy mahafantatra ny momba ny fifandraisan'ny tsirairay - noho izany dia mila ny vBond mpanelanelana orkestra. Ny fitsipika ankapobeny dia toy izao manaraka izao - ny singa tsirairay ao amin'ny dingana voalohany dia mianatra (ho azy na static) afa-tsy ny momba ny masontsivana fifandraisana amin'ny vBond, avy eo ny vBond dia mampahafantatra ny router momba ny vManage sy vSmart controllers (hita teo aloha), izay mahatonga azy ho azo atao ny mametraka ho azy. ny fifandraisana famantarana ilaina rehetra.

    Ny dingana manaraka dia ny hahalalan'ny router vaovao momba ny router hafa amin'ny tambajotra amin'ny alàlan'ny fifandraisana OMP miaraka amin'ny controller vSmart. Noho izany, ny router, tsy mahafantatra na inona na inona amin'ny voalohany momba ny masontsivana tambajotra, dia afaka mamantatra sy mifandray amin'ny mpanara-maso ary avy eo dia mahita sy mamorona fifandraisana amin'ny router hafa. Amin'ity tranga ity, ny masontsivana fifandraisana amin'ny singa rehetra dia tsy fantatra amin'ny voalohany ary mety hiova mandritra ny fandidiana.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Fitantanana-fiaramanidina - ampahany amin'ny vahaolana manome fitantanana sy fanaraha-maso foibe.

  • DMVPN/PfR - tsy misy vahaolana fitantanana-fiaramanidina manokana omena. Ho an'ny automation sy ny fanaraha-maso fototra dia azo ampiasaina ny vokatra toy ny Cisco Prime Infrastructure. Ny router tsirairay dia manana fahafahana fehezina amin'ny alàlan'ny baikon'ny CLI. Ny fampidirana amin'ny rafitra ivelany amin'ny alàlan'ny API dia tsy omena.
  • SD WAN – ny fifandraisana sy ny fanaraha-maso tsy tapaka rehetra dia atao eo afovoany amin'ny alàlan'ny interface an-tsary an'ny vManage controller. Ny endri-javatra rehetra amin'ny vahaolana, tsy an-kanavaka, dia azo ampiasaina amin'ny alàlan'ny vManage, ary koa amin'ny alàlan'ny tranomboky REST API voarakitra tanteraka.

    Ny firafitry ny tambajotra SD-WAN rehetra ao amin'ny vManage dia midina amin'ny fananganana roa lehibe - ny fananganana modely fitaovana (Device Template) ary ny fananganana politika izay mamaritra ny lojikan'ny fiasan'ny tambajotra sy ny fanodinana ny fifamoivoizana. Amin'izay fotoana izay ihany koa, vManage, mandefa ny politika novokarin'ny mpitantana, dia mifidy ho azy izay fiovana sy izay fitaovana / fanaraha-maso tsirairay tokony hatao, izay mampitombo be ny fahombiazana sy ny scalability ny vahaolana.

    Amin'ny alàlan'ny interface vManage, tsy ny fanamboarana ny vahaolana Cisco SD-WAN ihany no misy, fa koa ny fanaraha-maso feno ny toeran'ny singa rehetra amin'ny vahaolana, midina amin'ny toe-javatra misy ankehitriny ho an'ny tonelina tsirairay sy ny antontan'isa momba ny fampiasana fampiharana isan-karazany. mifototra amin'ny fanadihadiana DPI.

    Na dia eo aza ny fampivoarana ny fifandraisana, ny singa rehetra (mpifehy sy ny router) dia manana tsipika baiko CLI miasa tanteraka, izay ilaina amin'ny dingana fampiharana na amin'ny tranga maika ho an'ny diagnostika eo an-toerana. Amin'ny fomba mahazatra (raha misy fantsona famantarana eo anelanelan'ny singa) amin'ny router, ny baikon'ny baiko dia tsy misy afa-tsy amin'ny diagnostika ary tsy azo atao amin'ny fanovana eo an-toerana, izay miantoka ny fiarovana eo an-toerana ary ny hany loharanon'ny fanovana amin'ny tambajotra toy izany dia vManage.

Integrated Security – Eto isika dia tsy tokony hiresaka momba ny fiarovana ny angon-drakitra mpampiasa ihany rehefa ampitaina amin'ny fantsona misokatra, fa koa momba ny fiarovana ankapobeny ny tambajotra WAN mifototra amin'ny teknolojia voafantina.

  • в DMVPN/PfR Azo atao ny manidy ny angona mpampiasa sy ny protocols famantarana. Rehefa mampiasa maodely router sasany, dia miasa ny firewall miaraka amin'ny fisafoana ny fifamoivoizana, misy IPS/IDs fanampiny. Azo atao ny mizara tambajotra sampana amin'ny fampiasana VRF. Azo atao ny manamarina ny protocols fanaraha-maso (one-factor).

    Amin'ity tranga ity, ny router lavitra dia heverina ho singa azo itokisana amin'ny tambajotra amin'ny alàlan'ny default - i.e. Ny tranganà marimaritra iraisana ara-batana amin'ny fitaovana tsirairay sy ny mety hisian'ny fidirana tsy nahazoana alalana amin'izy ireo dia tsy heverina na raisina; tsy misy antony roa manamarina ny singa vahaolana, izay raha ny tambajotra mizara ara-jeografika mety hitondra risika fanampiny lehibe.

  • в SD WAN amin'ny alàlan'ny fampitahana amin'ny DMVPN, omena ny fahafahana manidy ny angon-drakitra mpampiasa, saingy miaraka amin'ny fiarovana ny tambajotra miitatra be sy ny fiasa fizarana L3 / VRF (firewall, IPS / IDS, sivana URL, sivana DNS, AMP / TG, SASE, TLS / SSL proxy, sns.) d.). Mandritra izany fotoana izany, ny fifanakalozana ny fanalahidin'ny encryption dia atao amin'ny fomba mahomby kokoa amin'ny alàlan'ny mpanara-maso vSmart (fa tsy mivantana), amin'ny alàlan'ny fantsona famantarana efa napetraka mialoha voaaro amin'ny DTLS/TLS encryption mifototra amin'ny fanamarinana fiarovana. Izay indray miantoka ny fiarovana ny fifanakalozana toy izany ary miantoka ny scalability tsara kokoa ny vahaolana hatramin'ny an'aliny fitaovana ao amin'ny tambajotra iray ihany.

    Ny fifandraisana famantarana rehetra (controller-to-controller, controller-router) dia voaaro koa mifototra amin'ny DTLS/TLS. Ny router dia manana taratasy fanamarinana fiarovana mandritra ny famokarana miaraka amin'ny mety ho fanoloana / fanitarana. Ny fanamarinana roa lafin-javatra dia tratra amin'ny alàlan'ny fanatanterahana tsy maintsy atao sy miaraka amin'ny fepetra roa ahafahan'ny router/controller miasa amin'ny tambajotra SD-WAN:

    • Taratasy fiarovana manankery
    • Fampidirana mazava sy am-pahibemaso ataon'ny mpitantana ny singa tsirairay ao amin'ny lisitra "fotsy" amin'ireo fitaovana navela.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Ny fahasamihafana eo amin'ny SD-WAN sy ny DMVPN/PfR

Miroso amin'ny fifanakalozan-kevitra momba ny fahasamihafana eo amin'ny asa, dia tokony homarihina fa maro amin'izy ireo no fitohizan'ny maritrano - tsy zava-miafina fa rehefa mamorona ny maritrano ny vahaolana, ny developer dia manomboka amin'ny fahaiza-manao izay tiany ho azo amin'ny farany. Andeha hojerentsika ny fahasamihafana lehibe indrindra eo amin'ireo teknolojia roa ireo.

AppQ (Application Quality) - miasa hiantohana ny kalitaon'ny fampitana ny fifamoivoizana fampiharana orinasa

Ny fiasa fototra amin'ny teknolojia dinihina dia mikendry ny hanatsara ny traikefan'ny mpampiasa araka izay tratra rehefa mampiasa rindranasa manakiana orinasa amin'ny tambajotra mizara. Zava-dehibe indrindra izany amin'ny toe-javatra izay tsy voafehin'ny IT ny ampahany amin'ny fotodrafitrasa na tsy miantoka akory ny famindrana angon-drakitra mahomby.

DMVPN dia tsy manome mekanika toy izany. Ny tsara indrindra azo atao amin'ny tambajotra DMVPN mahazatra dia ny manasokajy ny fifamoivoizana mivoaka amin'ny alàlan'ny fampiharana ary manao laharam-pahamehana rehefa ampitaina amin'ny fantsona WAN. Ny safidin'ny tonelina DMVPN dia voafaritra amin'ity tranga ity amin'ny alàlan'ny fisiany sy ny vokatry ny fiasan'ny protocols routing. Mandritra izany fotoana izany, ny toetry ny faran'ny lalana / tonelina sy ny mety hisian'ny fahasimbana amin'ny ampahany dia tsy raisina amin'ny lafin'ny metrika fototra izay manan-danja amin'ny fampiharana amin'ny tambajotra - fahatarana, fiovaovan'ny fahatarana (jitter) ary fatiantoka (% ). Amin'io lafiny io, ny fampitahana mivantana ny DMVPN mahazatra amin'ny SD-WAN amin'ny resaka famahana ny olan'ny AppQ dia very hevitra - tsy afaka mamaha ity olana ity ny DMVPN. Rehefa manampy ny teknolojia Cisco Performance Routing (PfR) ao anatin'io toe-javatra io ianao, dia miova ny toe-javatra ary lasa manan-danja kokoa ny fampitahana amin'ny Cisco SD-WAN.

Alohan'ny hiresahana momba ny fahasamihafana dia indro misy fijerena haingana ny fomba itovizan'ny teknolojia. Noho izany, ny teknolojia roa:

  • manana mekanika ahafahanao manombatombana amin'ny fomba mavitrika ny toetry ny tonelina tsirairay miorina amin'ny lafin'ny metrika sasany - farafaharatsiny, fahatarana, fiovaovan'ny fahatarana ary fahaverezan'ny fonosana (%)
  • mampiasa fitaovana manokana mba hamoronana, hizarana ary hampihatra ny fitsipiky ny fitantanana ny fifamoivoizana (politika), amin'ny fijerena ny vokatry ny fandrefesana ny toetry ny tonelina fototra.
  • sokafy ny fifamoivoizana fampiharana amin'ny ambaratonga L3-L4 (DSCP) amin'ny maodely OSI na amin'ny sonia fampiharana L7 mifototra amin'ny mekanika DPI natsangana tao amin'ny router
  • Ho an'ny fampiharana manan-danja, mamela anao hamantatra ny soatoavin'ny tokonam-baravarana azo ekena, ny fitsipika momba ny fandefasana fifamoivoizana amin'ny alàlan'ny default, ary ny fitsipika momba ny famerenana ny fifamoivoizana rehefa mihoatra ny sandan'ny tokonam-baravarana.
  • Rehefa mametaka ny fifamoivoizana ao amin'ny GRE/IPSec, dia mampiasa ny rafitra indostrialy efa napetraka izy ireo mba handefasana marika DSCP anatiny mankany amin'ny lohatenin'ny fonosana GRE/IPSEC ivelany, izay mamela ny fampifanarahana ny politikan'ny QoS an'ny fikambanana sy ny mpandraharaha amin'ny fifandraisan-davitra (raha misy SLA mety). .

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Ahoana ny maha-samihafa ny metrika end-to-end SD-WAN sy DMVPN/PfR?

DMVPN/PfR

  • Samy ampiasaina hanombanana ny mari-pamantarana ara-pahasalamana mahazatra ny tonelina. Ny mavitrika dia mifototra amin'ny fifamoivoizana mpampiasa, ny passive dia maka tahaka ny fifamoivoizana toy izany (raha tsy eo).
  • Tsy misy fanitsiana tsara ny fameram-potoana sy ny fepetra fitiliana fanimbana - raikitra ny algorithm.
  • Fanampin'izany, misy ny fandrefesana ny bandwidth ampiasaina amin'ny lalana mivoaka. Izay manampy flexibility fitantanana fifamoivoizana fanampiny amin'ny DMVPN/PfR.
  • Mandritra izany fotoana izany, ny mekanika PfR sasany, rehefa mihoatra ny metrika, dia miankina amin'ny famantarana fanehoan-kevitra amin'ny endrika hafatra TCA (Threshold Crossing Alert) manokana izay tsy maintsy avy amin'ny mpandray ny fifamoivoizana mankany amin'ny loharano, izay mihevitra fa ny toetry ny ny fantsona fandrefesana dia tokony ho ampy farafahakeliny amin'ny fandefasana hafatra TCA toy izany. Izay amin'ny ankamaroan'ny tranga dia tsy olana, saingy mazava ho azy fa tsy azo antoka.

SD WAN

  • Ho an'ny fanombanana farany amin'ny mari-pamantarana fanjakana tonelina mahazatra, ny protocol BFD dia ampiasaina amin'ny fomba ako. Amin'ity tranga ity, tsy ilaina ny fanehoan-kevitra manokana amin'ny endrika TCA na hafatra mitovitovy - ny fitokana-monina ny sehatra tsy fahombiazana dia tazonina. Tsy mitaky ny fisian'ny fifamoivoizana mpampiasa ihany koa ny fanombanana ny toetry ny tonelina.
  • Azo atao tsara ny manitsy ny fameram-potoana BFD mba hifehezana ny hafainganan'ny valinteny sy ny fahatsapan'ny algorithm amin'ny fahapotehan'ny fantsom-pifandraisana manomboka amin'ny segondra maromaro ka hatramin'ny minitra.

    Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

  • Amin'ny fotoana anoratana dia tsy misy afa-tsy fivoriana BFD iray isaky ny tonelina. Izany dia mety hiteraka tsy fahampiana amin'ny famakafakana ny toetry ny tonelina. Raha ny zava-misy dia mety ho voafetra ihany izany raha mampiasa fifandraisana WAN mifototra amin'ny MPLS L2/L3 VPN miaraka amin'ny QoS SLA nifanarahana - raha mifanaraka amin'ny filaharana laharam-pahamehana ny DSCP amin'ny fifamoivoizana BFD (aorian'ny encapsulation ao amin'ny IPSec/GRE) ny tambajotran'ny mpandraharahan'ny fifandraisandavitra, dia mety hisy fiantraikany amin'ny fahitsiana sy ny hafainganam-pandehan'ny fitiliana ny fahasimbana ho an'ny fifamoivoizana ambany laharam-pahamehana izany. Mandritra izany fotoana izany, azo atao ny manova ny mari-pamantarana BFD default mba hampihenana ny loza ateraky ny toe-javatra toy izany. Amin'ny dikan-teny ho avy amin'ny rindrambaiko Cisco SD-WAN, dia andrasana ny fandrindrana BFD tsara kokoa, ary koa ny fahafahana manangana fivoriana BFD marobe ao anatin'ny tonelina iray miaraka amin'ny sanda DSCP tsirairay (ho an'ny fampiharana samihafa).
  • Ny BFD koa dia ahafahanao manombana ny haben'ny fonosana ambony indrindra azo ampitaina amin'ny tonelina manokana tsy misy fizarazarana. Izany dia ahafahan'ny SD-WAN manitsy ny mari-pamantarana toy ny MTU sy ny TCP MSS Adjust mba hahazoana ny ankamaroan'ny bandwidth misy amin'ny rohy tsirairay.
  • Ao amin'ny SD-WAN, ny safidy ny QoS synchronization avy amin'ny telecom mpandraharaha dia misy ihany koa, tsy mifototra amin'ny L3 DSCP saha ihany, fa koa mifototra amin'ny L2 CoS soatoavina, izay azo avy hatrany novokarina ao amin'ny tambajotra sampana amin'ny alalan'ny fitaovana manokana - ohatra, IP. finday

Inona no maha samy hafa ny fahaiza-manao, ny fomba famaritana ary ny fampiharana ny politikan'ny AppQ?

Politika DMVPN/PfR:

  • Voafaritra ao amin'ny router sampana afovoany amin'ny alàlan'ny baikon'ny baiko CLI na ny maodely fanamafisana CLI. Mitaky fanomanana sy fahalalana momba ny syntax politika ny famoronana maodely CLI.

    Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

  • Voafaritra maneran-tany raha tsy misy ny mety hisian'ny fanamafisam-peo / fanovana ny fepetra takian'ny fizarana tambajotra tsirairay.
  • Tsy omena ao amin'ny interface an-tsary ny famoronana politika ifandrimbonana.
  • Ny fanaraha-maso ny fanovana, ny fandovana ary ny famoronana dika maro amin'ny politika ho an'ny fanovana haingana dia tsy omena.
  • Nozaraina ho azy amin'ny mpitatitra sampana lavitra. Amin'ity tranga ity, ny fantsom-pifandraisana mitovy dia ampiasaina amin'ny fampitana ny angona mpampiasa. Raha tsy misy fantsom-pifandraisana eo amin'ny sampana afovoany sy lavitra dia tsy azo atao ny fizarana/fanovàna ny politika.
  • Ampiasaina amin'ny router tsirairay izy ireo ary, raha ilaina, dia ovay ny vokatry ny protocols routing mahazatra, manana laharam-pahamehana kokoa.
  • Ho an'ny tranga izay ahitana ny rohy WAN rehetra amin'ny sampana dia misy fahaverezan'ny fifamoivoizana lehibe, tsy misy mekanika fanonerana omena.

Politika SD-WAN:

  • Voafaritra ao amin'ny vManage GUI amin'ny alàlan'ny wizard môdely interactive.
  • Manohana ny famoronana politika marobe, kopia, fandovana, fifandimbiasana eo amin'ny politika amin'ny fotoana tena izy.
  • Manohana ny firafitry ny politika tsirairay ho an'ny fizarana tambajotra samihafa (sampana)
  • Izy ireo dia zaraina amin'ny alàlan'ny fantsona famantarana misy eo anelanelan'ny mpanara-maso sy ny router ary/na ny vSmart - tsy miankina mivantana amin'ny fifandraisan'ny fiaramanidina data eo amin'ny router. Mazava ho azy fa mitaky fifandraisana IP eo amin'ny router sy ny mpanara-maso izany.

    Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

  • Ho an'ny tranga izay misy ny sampana rehetra misy amin'ny sampana iray dia mahatsapa fatiantoka lehibe amin'ny angon-drakitra mihoatra ny fetra azo ekena ho an'ny fampiharana manakiana, dia azo atao ny mampiasa mekanika fanampiny izay mampitombo ny fahatokisana ny fampitana:
    • FEC (Fanitsiana lesoka mandroso) - mampiasa algorithm coding miverimberina manokana. Rehefa mamindra fifamoivoizana manakiana amin'ny fantsona misy isan-jaton'ny fatiantoka dia azo alefa ho azy ny FEC ary mamela, raha ilaina, hamerina ny ampahany very amin'ny angona. Mampitombo kely ny bandwidth fampitana ampiasaina izany, saingy manatsara ny fahatokisana.

      Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

    • Fandikana ny data streams - Ho fanampin'ny FEC, ny politika dia afaka manome ho an'ny dika mitovy amin'ny fifamoivoizana amin'ny fampiharana voafantina raha toa ka misy fatiantoka lehibe kokoa izay tsy azon'ny FEC onitra. Amin'ity tranga ity, ny angon-drakitra voafantina dia halefa amin'ny alàlan'ny tonelina rehetra mankany amin'ny sampana mandray miaraka amin'ny de-duplication manaraka (midina dika mitovy amin'ny fonosana). Ny mekanika dia mampitombo be ny fampiasana fantsona, fa mampitombo be ihany koa ny fahatokisana ny fampitana.

Ny fahaiza-manao Cisco SD-WAN, tsy misy analogue mivantana amin'ny DMVPN/PfR

Ny maritrano amin'ny vahaolana Cisco SD-WAN amin'ny toe-javatra sasany dia ahafahanao mahazo fahaiza-manao izay sarotra be ny mampihatra ao anatin'ny DMVPN/PfR, na tsy azo ampiharina noho ny vidin'ny asa ilaina, na tsy azo atao tanteraka. Andeha hojerentsika ny mahaliana indrindra amin'izy ireo:

Injeniera momba ny fifamoivoizana (TE)

Ny TE dia ahitana mekanika ahafahan'ny fifamoivoizana mitsangatsangana amin'ny lalana mahazatra noforonin'ny protocols routing. Ny TE dia matetika ampiasaina mba hiantohana ny fisian'ny serivisy amin'ny tambajotra, amin'ny alàlan'ny fahafahana mamindra haingana sy/na mihetsiketsika ny fifamoivoizana manakiana mankany amin'ny lalan'ny fifindrana hafa (disjoint), mba hiantohana ny kalitaon'ny serivisy na ny hafainganam-pandehan'ny fanarenana raha sendra ny tsy fahombiazana. amin'ny lalana lehibe.

Ny fahasarotana amin'ny fampiharana ny TE dia ny filàna kajy sy famandrihana (jereo) lalana hafa mialoha. Ao amin'ny tamba-jotra MPLS an'ny mpandraharahan'ny fifandraisan-davitra, voavaha ity olana ity amin'ny alàlan'ny teknolojia toy ny MPLS Traffic-Engineering miaraka amin'ny fanitarana ny protocols IGP sy ny protocol RSVP. Vao haingana ihany koa, ny teknolojia Segment Routing, izay nohatsaraina kokoa ho an'ny fanamafisam-peo sy orkestra afovoany, dia nanjary nalaza. Ao amin'ny tambajotra WAN mahazatra, ireo teknolojia ireo dia matetika tsy aseho na ahena amin'ny fampiasana mekanika hop-by-hop toy ny Policy-Based Routing (PBR), izay afaka mampiroborobo ny fifamoivoizana, fa ampiharo izany amin'ny router tsirairay - tsy misy fandraisana. kajikajy ny toetry ny tambajotra na ny PBR vokatry ny dingana teo aloha na manaraka. Mandiso fanantenana ny vokatry ny fampiasana ireo safidy TE ireo - MPLS TE, noho ny fahasarotan'ny fanamafisam-peo sy ny fandidiana, dia matetika ampiasaina amin'ny ampahany manan-danja indrindra amin'ny tambajotra (fototra), ary ny PBR dia ampiasaina amin'ny router tsirairay tsy misy. ny fahafahana mamorona politika PBR mitambatra ho an'ny tambajotra manontolo. Mazava ho azy fa mihatra amin'ny tambajotra mifototra amin'ny DMVPN ihany koa izany.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

SD-WAN amin'io lafiny io dia manolotra vahaolana kanto kokoa izay tsy mora amboarina, fa mizana tsara kokoa. Izany dia vokatry ny rafitra fanaraha-maso sy fiaramanidina politika ampiasaina. Ny fampiharana ny fiaramanidina politika amin'ny SD-WAN dia ahafahanao mamaritra afovoany ny politika TE - inona ny fifamoivoizana mahaliana? ho an'ny VPN inona? Amin'ny alalan'ny nodes/tunnel inona no ilaina na, mifanohitra amin'izany, voarara ny mamorona lalana hafa? Ho setrin'izany, ny fametrahana ny fitantanana ny fiaramanidina fanaraha-maso mifototra amin'ny mpanara-maso vSmart dia ahafahanao manova ny valin'ny zotra nefa tsy miditra amin'ny toeran'ny fitaovana tsirairay - ny router dia efa tsy mahita afa-tsy ny vokatry ny lojika izay novokarina tao amin'ny interface vManage ary nafindra ho ampiasaina amin'ny vSmart.

Service-chaining

Ny fananganana rojo serivisy dia asa mavesa-danja kokoa amin'ny zotra mahazatra noho ny mekanika momba ny Traffic-Engineering efa voalaza. Raha ny marina, amin'ity tranga ity, tsy ilaina ihany ny mamorona lalana manokana ho an'ny fampiharana tambajotra manokana, fa koa mba hahazoana antoka ny fahafahana manala ny fifamoivoizana amin'ny tambajotra amin'ny sasany (na rehetra) nodes ny SD-WAN tambajotra ho an'ny fanodinana ny fampiharana na serivisy manokana (Firewall, Balancing, Caching, fifamoivoizana fanaraha-maso, sns.). Amin'izay fotoana izay ihany koa dia ilaina ny mifehy ny toetry ny serivisy ivelany mba hisorohana ny toe-javatra mainty hoditra, ary ilaina koa ny mekanika ahafahan'ny serivisy ivelany mitovy karazana apetraka amin'ny geo-toerana samihafa. miaraka amin'ny fahafahan'ny tambajotra misafidy ho azy ny node serivisy tsara indrindra amin'ny fanodinana ny fifamoivoizana amin'ny sampana iray. Raha ny Cisco SD-WAN, dia mora ny manatratra izany amin'ny alàlan'ny famoronana politika afovoany mifanaraka amin'izany izay "mametaka" ny lafiny rehetra amin'ny rojo serivisy kendrena ho iray manontolo ary manova ho azy ny lojika data-plane sy control-plane raha tsy amin'ny toerana misy azy. ary rehefa ilaina.

Hanapaka ny sampana misy ny DMVPN ve ny Cisco SD-WAN?

Ny fahaizana mamorona fanodinana geo-distributed ny fifamoivoizana amin'ny karazana fampiharana voafantina amin'ny filaharana manokana amin'ny fitaovana manokana (fa tsy mifandray amin'ny tambajotra SD-WAN mihitsy) angamba no fanehoana mazava indrindra ny tombotsoan'ny Cisco SD-WAN amin'ny mahazatra. teknolojia ary na dia vahaolana SD hafa -WAN avy amin'ny mpanamboatra hafa.

Inona amin'ny farany?

Mazava ho azy fa samy DMVPN (miaraka na tsy misy Performance Routing) sy Cisco SD-WAN miafara amin'ny famahana olana mitovy amin'izany mifandraika amin'ny tambajotra WAN zarain'ny fikambanana. Mandritra izany fotoana izany, ny fahasamihafana ara-javakanto sy fiasa lehibe amin'ny teknolojia Cisco SD-WAN dia mitarika amin'ny famahana ireo olana ireo. mankany amin'ny haavon'ny kalitao hafa. Raha fintinina, azontsika atao ny manamarika ireto fahasamihafana lehibe manaraka ireto eo amin'ny teknolojia SD-WAN sy DMVPN/PfR:

  • Ny DMVPN/PfR amin'ny ankapobeny dia mampiasa teknolojia voasedra amin'ny fotoana hananganana tambajotra VPN overlay ary, raha ny momba ny fiaramanidina data, dia mitovitovy amin'ny teknolojia SD-WAN maoderina kokoa, na izany aza, misy fetra maromaro amin'ny endrika fanamafisana static tsy maintsy atao. Ny router ary ny safidin'ny topologies dia voafetra amin'ny Hub-n-Spoke. Amin'ny lafiny iray, ny DMVPN/PfR dia manana fiasa izay mbola tsy hita ao anatin'ny SD-WAN (miresaka momba ny BFD isaky ny fampiharana isika).
  • Ao anatin'ny fiaramanidina fanaraha-maso, ny teknolojia dia tsy mitovy amin'ny fototra. Raha jerena ny fanodinana ivon'ny protocols famantarana, SD-WAN dia mamela, indrindra indrindra, hanaterana ny sehatra tsy fahombiazana ary "hamisotra" ny fizotran'ny fandefasana ny fifamoivoizana amin'ny fifandraisana amin'ny famantarana - ny tsy fisian'ny mpanara-maso vonjimaika dia tsy misy fiantraikany amin'ny fahafahana mandefa ny fifamoivoizana mpampiasa. . Mandritra izany fotoana izany, ny tsy fisian'ny sampana vonjimaika (anisan'izany ny foibe) dia tsy misy fiantraikany amin'ny fahafahan'ny sampana hafa mifandray amin'ny tsirairay sy ny mpanara-maso.
  • Ny maritrano ho an'ny fananganana sy fampiharana ny politikan'ny fitantanana ny fifamoivoizana amin'ny tranga SD-WAN dia ambony noho ny ao amin'ny DMVPN/PfR - tsara kokoa ny fampiharana ny geo-famandrihana, tsy misy fifandraisana amin'ny Hub, misy fahafahana bebe kokoa ho an'ny tsara. -Ny politikan'ny fanitsiana, ny lisitr'ireo sehatra fitantanana ny fifamoivoizana dia lehibe kokoa.
  • Hafa ihany koa ny fizotran'ny orkestra vahaolana. DMVPN dia mihevitra ny fisian'ireo mari-pamantarana efa fantatra teo aloha izay tsy maintsy hita taratra amin'ny endriny, izay mametra ny fahafahan'ny vahaolana sy ny mety hisian'ny fiovana mavitrika. Ho setrin'izany, ny SD-WAN dia mifototra amin'ny paradigma fa amin'ny fotoana voalohany amin'ny fifandraisana, ny router "tsy mahalala na inona na inona" momba ny mpanara-maso azy, fa mahafantatra "iza no azonao anontaniana" - izany dia ampy tsy vitan'ny hoe manangana fifandraisana ho azy. ny mpanara-maso, fa koa mba hamoronana ho azy topologie data-plane mifandray tanteraka, izay azo amboarina / ovaina amin'ny alàlan'ny politika.
  • Raha ny momba ny fitantanana foibe, ny automatique ary ny fanaraha-maso, SD-WAN dia antenaina hihoatra ny fahaizan'ny DMVPN/PfR, izay nivoatra avy amin'ny teknolojia klasika ary miantehitra bebe kokoa amin'ny baikon'ny CLI sy ny fampiasana ny rafitra NMS mifototra amin'ny template.
  • Ao amin'ny SD-WAN, raha ampitahaina amin'ny DMVPN, ny fepetra fiarovana dia nahatratra ambaratonga kalitao hafa. Ny fitsipika fototra dia ny fahatokisana aotra, ny scalability ary ny fanamarinana roa.

Ireo fehin-kevitra tsotra ireo dia mety hanome fahatsapana diso fa ny famoronana tambajotra mifototra amin'ny DMVPN/PfR dia very ny lanjany ankehitriny. Mazava ho azy fa tsy marina tanteraka izany. Ohatra, amin'ny tranga izay mampiasa fitaovana efa lany andro ny tambajotra ary tsy misy fomba hanoloana azy, ny DMVPN dia afaka mamela anao hanambatra ireo fitaovana "taloha" sy "vaovao" ao anaty tambajotra iray mizara geo miaraka amin'ny tombontsoa maro voalaza. ambony.

Amin'ny lafiny iray, tokony ho tsaroana fa ny router Cisco rehetra amin'izao fotoana izao mifototra amin'ny IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) ankehitriny dia manohana ny fomba fiasa rehetra - na ny lalana mahazatra sy ny DMVPN ary ny SD-WAN - Ny safidy dia voafaritra amin'ny filàna ankehitriny sy ny fahatakarana fa amin'ny fotoana rehetra, amin'ny fampiasana fitaovana mitovy, dia afaka manomboka mandroso mankany amin'ny teknolojia mandroso kokoa ianao.

Source: www.habr.com

Add a comment