ProHoster > Блог > Захиргаа > Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

2017 оны XNUMX-р сард Cisco Viptela-г худалдаж авснаас хойш тархсан аж ахуйн нэгжийн сүлжээг зохион байгуулахад санал болгож буй гол технологи болжээ. Cisco SD-WAN. Сүүлийн 3 жилийн хугацаанд SD-WAN технологи нь чанарын болон тоон олон өөрчлөлтийг туулсан. Ийнхүү функциональ байдал ихээхэн өргөжиж, цувралын сонгодог чиглүүлэгчид дэмжлэг гарч ирэв Cisco ISR 1000, ISR 4000, ASR 1000 болон Virtual CSR 1000v. Үүний зэрэгцээ Cisco-ийн олон хэрэглэгчид болон түншүүд дараахь асуултыг асуусаар байна. зэрэг технологид суурилсан Cisco SD-WAN болон аль хэдийн танил болсон аргуудын хооронд ямар ялгаа байдаг вэ Cisco DMVPN и Cisco гүйцэтгэлийн чиглүүлэлт мөн эдгээр ялгаа хэр чухал вэ?

Cisco-ийн багцад SD-WAN гарч ирэхээс өмнө DMVPN нь PfR-тэй хамт архитектурын гол хэсгийг бүрдүүлсэн гэдгийг энд бид нэн даруй тэмдэглэх хэрэгтэй. Cisco IWAN (Ухаалаг WAN), энэ нь эргээд бүрэн хэмжээний SD-WAN технологийн өмнөх үе байсан. Шийдвэрлэж буй даалгавар, тэдгээрийг шийдвэрлэх аргуудын ерөнхий ижил төстэй байдлыг үл харгалзан IWAN нь SD-WAN-д шаардлагатай автоматжуулалт, уян хатан байдал, өргөтгөх чадварыг хэзээ ч хүлээн аваагүй бөгөөд цаг хугацаа өнгөрөхөд IWAN-ийн хөгжил мэдэгдэхүйц буурчээ. Үүний зэрэгцээ IWAN-ийг бүрдүүлдэг технологиуд алга болоогүй бөгөөд олон үйлчлүүлэгчид орчин үеийн тоног төхөөрөмж гэх мэт тэдгээрийг амжилттай ашигласаар байна. Үүний үр дүнд сонирхолтой нөхцөл байдал үүссэн - ижил Cisco төхөөрөмж нь үйлчлүүлэгчдийн шаардлага, хүлээлтэд нийцүүлэн хамгийн тохиромжтой WAN технологийг (сонгодог, DMVPN+PfR эсвэл SD-WAN) сонгох боломжийг олгодог.

Нийтлэл нь Cisco SD-WAN ба DMVPN технологиудын бүх шинж чанарыг (Гүйцэтгэлийн чиглүүлэлттэй эсвэл байхгүй) нарийвчлан шинжлэхийг зориогүй - үүнд зориулж асар их хэмжээний баримт бичиг, материал бий. Гол ажил бол эдгээр технологийн гол ялгааг үнэлэхийг оролдох явдал юм. Гэхдээ эдгээр ялгааг ярихаасаа өмнө технологиудыг товчхон дурсъя.

Cisco DMVPN гэж юу вэ, яагаад хэрэгтэй вэ?

Cisco DMVPN нь дурын төрлийн харилцаа холбооны суваг, тэр дундаа интернет (= холбооны сувгийн шифрлэлт) ашиглах үед алсын салбар сүлжээг аж ахуйн нэгжийн төв оффисын сүлжээнд динамик (= өргөтгөх боломжтой) холбох асуудлыг шийддэг. Техникийн хувьд үүнийг "Од" төрлийн (Hub-n-Spoke) логик топологи бүхий цэгээс олон цэгт горимд L3 VPN ангиллын виртуалчлагдсан давхардсан сүлжээг бий болгох замаар хэрэгжүүлдэг. Үүнд хүрэхийн тулд DMVPN нь дараах технологиудын хослолыг ашигладаг.

  • IP чиглүүлэлт
  • Олон цэгийн GRE туннель (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto профайл

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

MPLS VPN сувгуудыг ашигладаг сонгодог чиглүүлэлттэй харьцуулахад Cisco DMVPN-ийн гол давуу тал юу вэ?

  • Салбар хоорондын сүлжээг бий болгохын тулд ямар ч холбооны сувгийг ашиглах боломжтой - салбар хоорондын IP холболтыг хангаж чадах бүх зүйл тохиромжтой, харин траффик нь шифрлэгдсэн (шаардлагатай бол) болон тэнцвэртэй (боломжтой бол) байх болно.
  • Салбаруудын хооронд бүрэн холбогдсон топологи автоматаар үүсдэг. Үүний зэрэгцээ төв болон алслагдсан салбаруудын хооронд статик хонгил, алслагдсан салбаруудын хооронд эрэлт хэрэгцээтэй динамик хонгил (хөдөлгөөн байгаа бол) байдаг.
  • Төв болон алслагдсан салбарын чиглүүлэгчид интерфэйсүүдийн IP хаяг хүртэл ижил тохиргоотой байна. mGRE-г ашигласнаар хэдэн арван, хэдэн зуун, бүр мянга мянган хонгилыг тус тусад нь тохируулах шаардлагагүй болно. Үүний үр дүнд зөв дизайн бүхий зохистой өргөтгөх боломжтой.

Cisco Performance Routing гэж юу вэ, яагаад хэрэгтэй вэ?

Салбар хоорондын сүлжээнд DMVPN ашиглах үед нэг чухал асуулт шийдэгдээгүй хэвээр байна - DMVPN хонгил тус бүрийн төлөв байдлыг манай байгууллагын хувьд чухал ач холбогдолтой замын хөдөлгөөний шаардлагад нийцүүлэн хэрхэн динамикаар үнэлэх вэ, мөн ийм үнэлгээнд үндэслэн дахин динамикаар хийх. маршрутыг өөрчлөх шийдвэр гарсан уу? Үнэн хэрэгтээ энэ хэсэгт байгаа DMVPN нь сонгодог чиглүүлэлтээс бараг ялгаатай биш юм - хамгийн сайн хийж болох зүйл бол гарч буй чиглэлд урсгалыг эрэмбэлэх боломжийг олгодог QoS механизмыг тохируулах явдал юм, гэхдээ ямар ч байдлаар төлөв байдлыг харгалзан үзэх боломжгүй юм. бүх замыг нэг удаа эсвэл өөр.

Хэрэв суваг бүрэн бус хэсэгчлэн муудвал яах вэ - үүнийг хэрхэн илрүүлж, үнэлэх вэ? DMVPN өөрөө үүнийг хийж чадахгүй. Салбаруудыг холбосон сувгууд нь огт өөр технологи ашиглан огт өөр харилцаа холбооны операторуудаар дамжиж болно гэдгийг харгалзан үзвэл энэ ажил нь маш энгийн зүйл биш юм. Тэр үед хөгжлийн хэд хэдэн үе шатыг туулсан Cisco Performance Routing технологи нь эндээс аврах ажилд ирдэг.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Cisco Performance Routing (цаашид PfR) нь сүлжээний хэрэглээнд чухал ач холбогдолтой гол хэмжүүрүүд дээр үндэслэн замын хөдөлгөөний (хонгил) төлөвийг хэмжихэд чиглэгддэг. хоцролт, хоцрогдлын хэлбэлзэл (життер) ба пакетийн алдагдал (хувь). Үүнээс гадна ашигласан зурвасын өргөнийг хэмжиж болно. Эдгээр хэмжилтүүд нь бодит цаг хугацаанд аль болох ойр, үндэслэлтэй явагддаг бөгөөд эдгээр хэмжилтийн үр дүн нь PfR ашигладаг чиглүүлэгчид энэ эсвэл өөр төрлийн хөдөлгөөний чиглүүлэлтийн чиглэлийг өөрчлөх хэрэгцээний талаар динамикаар шийдвэр гаргах боломжийг олгодог.

Тиймээс DMVPN/PfR хослолын даалгаврыг дараах байдлаар товч тайлбарлаж болно.

  • Үйлчлүүлэгчид WAN сүлжээнд ямар ч холбооны сувгийг ашиглахыг зөвшөөрнө үү
  • Эдгээр сувгууд дээрх чухал програмуудын аль болох өндөр чанарыг хангах

Cisco SD-WAN гэж юу вэ?

Cisco SD-WAN нь байгууллагын WAN сүлжээг үүсгэх, ажиллуулахад SDN хандлагыг ашигладаг технологи юм. Энэ нь ялангуяа бүх шийдлийн бүрэлдэхүүн хэсгүүдийн төвлөрсөн зохион байгуулалт, автоматжуулсан тохиргоог хангадаг хянагч (програм хангамжийн элементүүд) ашиглахыг хэлнэ. Каноник SDN (Clean Slate загвар) -аас ялгаатай нь Cisco SD-WAN нь хэд хэдэн төрлийн хянагчийг ашигладаг бөгөөд тус бүр нь өөр өөрийн үүргийг гүйцэтгэдэг - үүнийг илүү сайн өргөтгөх, газарзүйн нөөцийг нэмэгдүүлэх зорилгоор зориудаар хийсэн.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

SD-WAN-ийн хувьд ямар ч төрлийн сувгийг ашиглах, бизнесийн програмуудын ажиллагааг хангах үүрэг хэвээр байгаа боловч үүнтэй зэрэгцэн ийм сүлжээний автоматжуулалт, өргөтгөх чадвар, аюулгүй байдал, уян хатан байдалд тавигдах шаардлагууд өргөжиж байна.

Ялгаатай байдлын талаархи хэлэлцүүлэг

Хэрэв бид одоо эдгээр технологийн ялгааг шинжилж эхэлбэл тэдгээр нь дараах ангиллын аль нэгэнд багтах болно.

  • Архитектурын ялгаа - шийдлийн янз бүрийн бүрэлдэхүүн хэсгүүдэд функцууд хэрхэн хуваарилагдсан, ийм бүрэлдэхүүн хэсгүүдийн харилцан үйлчлэл хэрхэн зохион байгуулагдсан, энэ нь технологийн чадвар, уян хатан байдалд хэрхэн нөлөөлдөг вэ?
  • Функциональ байдал - нэг технологи нь нөгөө нь юу хийж чадах вэ? Тэгээд энэ үнэхээр тийм чухал уу?

Архитектурын ялгаа нь юу вэ, тэдгээр нь чухал уу?

Эдгээр технологи тус бүр нь зөвхөн гүйцэтгэх үүргээрээ бус, бие биетэйгээ хэрхэн харьцаж байгаагаас ялгаатай олон "хөдөлгөөнт хэсгүүдтэй" байдаг. Эдгээр зарчмуудыг хэр сайн бодож боловсруулсан, шийдлийн ерөнхий механик нь түүний өргөтгөх чадвар, алдааны тэсвэрлэх чадвар, ерөнхий үр ашгийг шууд тодорхойлдог.

Архитектурын янз бүрийн талуудыг илүү нарийвчлан авч үзье.

Өгөгдлийн онгоц – эх сурвалж болон хүлээн авагчийн хооронд хэрэглэгчийн урсгалыг дамжуулах үүрэгтэй шийдлийн хэсэг. DMVPN болон SD-WAN нь олон цэгийн GRE туннел дээр суурилсан чиглүүлэгчид өөрсдөө ерөнхийдөө адилхан хэрэгждэг. Ялгаа нь эдгээр хонгилд шаардлагатай параметрүүдийн багцыг хэрхэн бүрдүүлэх явдал юм.

  • в DMVPN/PfR нь Од эсвэл Hub-n-Spoke топологи бүхий зангилааны зөвхөн хоёр түвшний шатлал юм. Hub-ийн статик тохиргоо болон Spoke-г Hub-д статик холбох, мөн өгөгдөл-хавтгай холболт үүсгэхийн тулд NHRP протоколоор дамжуулан харилцан ажиллах шаардлагатай. Үүний үр дүнд, Hub-д өөрчлөлт оруулах нь илүү хэцүүЖишээ нь, шинэ WAN сувгийг өөрчлөх/холбох эсвэл одоо байгаа сувгуудын параметрүүдийг өөрчлөхтэй холбоотой.
  • в SD WAN Энэ нь хяналтын хавтгай (OMP протокол) ба зохион байгуулалтын хавтгай (хянагчийг илрүүлэх vBond хянагчтай харьцах, NAT дамжуулалт хийх) дээр суурилсан хонгилын параметрүүдийг илрүүлэх бүрэн динамик загвар юм. Энэ тохиолдолд давхардсан топологи, түүний дотор шаталсан топологи ашиглаж болно. Тогтсон давхардсан хонгилын топологийн хүрээнд VPN(VRF) бүрийн логик топологийн уян хатан тохиргоог хийх боломжтой.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Хяналтын онгоц – шийдлийн бүрэлдэхүүн хэсгүүдийн хооронд чиглүүлэлт болон бусад мэдээллийг солилцох, шүүх, өөрчлөх функцууд.

  • в DMVPN/PfR – зөвхөн Hub болон Spoke чиглүүлэгчийн хооронд хийгддэг. Spokes хооронд чиглүүлэлтийн мэдээллийг шууд солилцох боломжгүй. Үүний үр дүнд, Ажиллаж байгаа Hub байхгүй бол удирдлагын болон өгөгдлийн хавтгай ажиллах боломжгүй, энэ нь Hub-д үргэлж хангаж чаддаггүй өндөр хүртээмжийн нэмэлт шаардлагыг тавьдаг.
  • в SD WAN – удирдлагын хавтгай нь чиглүүлэгчдийн хооронд хэзээ ч шууд хийгддэггүй – харилцан үйлчлэл нь OMP протоколын үндсэн дээр явагддаг бөгөөд заавал тусдаа тусгай төрлийн vSmart хянагчаар дамждаг бөгөөд энэ нь чиглүүлэгчийг тэнцвэржүүлэх, гео-захиалах, төвлөрсөн хяналт хийх боломжийг олгодог. дохионы ачаалал. OMP протоколын өөр нэг онцлог нь хянагчтай харилцах сувгийн хурдаас хамааралгүй, алдагдалд ихээхэн эсэргүүцэлтэй байдаг (мэдээж боломжийн хязгаар дотор). Энэ нь танд SD-WAN хянагчуудыг интернетээр нэвтрэх боломжтой нийтийн болон хувийн үүлэн дотор байрлуулах боломжийг олгодог.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Бодлогын хавтгай – тархсан сүлжээнд замын хөдөлгөөний удирдлагын бодлогыг тодорхойлох, түгээх, хэрэглэх үүрэгтэй шийдлийн нэг хэсэг.

  • DMVPN – CLI эсвэл Prime Infrastructure загвараар дамжуулан чиглүүлэгч бүр дээр тус тусад нь тохируулсан үйлчилгээний чанарын (QoS) бодлогоор үр дүнтэйгээр хязгаарлагддаг.
  • DMVPN/PfR – PfR бодлогыг CLI-ээр дамжуулан төвлөрсөн Мастер хянагч (MC) чиглүүлэгч дээр үүсгэж, дараа нь салбар MC-д автоматаар түгээдэг. Энэ тохиолдолд өгөгдлийн хавтгайтай ижил бодлого дамжуулах замыг ашиглана. Бодлого, чиглүүлэлтийн мэдээлэл, хэрэглэгчийн өгөгдлийг солилцох боломж байхгүй. Бодлогыг түгээх нь Hub болон Spoke хооронд IP холболттой байхыг шаарддаг. Энэ тохиолдолд MC функцийг шаардлагатай бол DMVPN чиглүүлэгчтэй хослуулж болно. Төвлөрсөн бодлого үүсгэхийн тулд Prime Infrastructure загваруудыг ашиглах боломжтой (гэхдээ шаардлагагүй). Нэг чухал онцлог нь бодлого нь дэлхий даяар сүлжээгээр ижилхэн хэлбэрээр бүрддэг. Бие даасан сегментүүдэд зориулсан бодлогуудыг дэмждэггүй.
  • SD WAN – Замын хөдөлгөөний удирдлага болон үйлчилгээний чанарын бодлогыг Cisco vManage график интерфэйсээр дамжуулан төвлөрсөн байдлаар тодорхойлдог бөгөөд үүнийг интернетээр (шаардлагатай бол) ашиглах боломжтой. Тэдгээрийг vSmart хянагчаар (бодлогын төрлөөс хамаарч) шууд болон шууд бусаар дохионы сувгаар түгээдэг. Тэд чиглүүлэгчийн хоорондох өгөгдлийн онгоцны холболтоос хамаардаггүй, учир нь хянагч болон чиглүүлэгчийн хооронд байгаа бүх замын хөдөлгөөний замыг ашиглах.

    Сүлжээний өөр өөр сегментүүдийн хувьд өөр өөр бодлогыг уян хатан байдлаар боловсруулах боломжтой - бодлогын хамрах хүрээг шийдэлд өгөгдсөн олон өвөрмөц танигч - салбарын дугаар, хэрэглээний төрөл, хөдөлгөөний чиглэл гэх мэтээр тодорхойлдог.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Оркестрийн онгоц - бүрэлдэхүүн хэсгүүд нь бие биенээ динамикаар илрүүлэх, дараагийн харилцан үйлчлэлийг тохируулах, зохицуулах боломжийг олгодог механизмууд.

  • в DMVPN/PfR Чиглүүлэгчийн хоорондох харилцан нээлт нь Hub төхөөрөмжүүдийн статик тохиргоо болон Spoke төхөөрөмжүүдийн харгалзах тохиргоон дээр суурилдаг. Динамик нээлт нь зөвхөн Spoke-д тохиолддог бөгөөд энэ нь Hub холболтын параметрүүдийг төхөөрөмжид мэдээлдэг бөгөөд энэ нь эргээд Spoke-ээр урьдчилан тохируулагдсан байдаг. Spoke болон ядаж нэг Hub хооронд IP холболт байхгүй бол өгөгдлийн хавтгай эсвэл хяналтын хавтгайг үүсгэх боломжгүй юм.
  • в SD WAN Шийдлийн бүрэлдэхүүн хэсгүүдийн зохион байгуулалт нь vBond хянагчийг ашиглан хийгддэг бөгөөд бүрэлдэхүүн хэсэг бүр (чиглүүлэгч болон vManage/vSmart хянагч) эхлээд IP холболтыг бий болгох ёстой.

    Эхэндээ бүрэлдэхүүн хэсгүүд нь бие биенийхээ холболтын параметрүүдийн талаар мэддэггүй - үүний тулд тэдэнд vBond зуучлагч оркестр хэрэгтэй. Ерөнхий зарчим нь дараах байдалтай байна - эхний үе шатанд бүрэлдэхүүн хэсэг бүр (автоматаар эсвэл статик) зөвхөн vBond-ийн холболтын параметрүүдийн талаар суралцдаг, дараа нь vBond нь чиглүүлэгчид vManage болон vSmart хянагчийн (өмнөх нээсэн) талаар мэдээлдэг бөгөөд энэ нь автоматаар тохируулах боломжтой болгодог. шаардлагатай бүх дохионы холболтууд.

    Дараагийн алхам бол шинэ чиглүүлэгч нь vSmart хянагчтай OMP холболтоор сүлжээн дэх бусад чиглүүлэгчдийн талаар мэдэх явдал юм. Тиймээс чиглүүлэгч нь эхлээд сүлжээний параметрүүдийн талаар юу ч мэдэхгүй байсан ч хянагчдыг бүрэн автоматаар илрүүлж, холбогдох боломжтой бөгөөд дараа нь автоматаар илрүүлж, бусад чиглүүлэгчтэй холбогдох боломжтой болно. Энэ тохиолдолд бүх бүрэлдэхүүн хэсгүүдийн холболтын параметрүүд нь эхлээд тодорхойгүй бөгөөд үйл ажиллагааны явцад өөрчлөгдөж болно.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Удирдлагын хавтгай – төвлөрсөн удирдлага, хяналтыг хангах шийдлийн нэг хэсэг.

  • DMVPN/PfR – менежментийн тусгай шийдэл байхгүй. Үндсэн автоматжуулалт, мониторингийн хувьд Cisco Prime Infrastructure зэрэг бүтээгдэхүүнийг ашиглаж болно. Чиглүүлэгч бүрийг CLI командын мөрөөр удирдах боломжтой. API-ээр дамжуулан гадаад системтэй нэгтгэх боломжгүй.
  • SD WAN – бүх байнгын харилцан үйлчлэл, хяналтыг vManage хянагчийн график интерфэйсээр дамжуулан төвлөрсөн байдлаар гүйцэтгэдэг. Шийдлийн бүх боломжуудыг vManage, мөн бүрэн баримтжуулсан REST API номын сангаар дамжуулан тохируулах боломжтой.

    vManage-ийн бүх SD-WAN сүлжээний тохиргоо нь төхөөрөмжийн загвар (Төхөөрөмжийн загвар) үүсгэх, сүлжээний үйл ажиллагаа, траффик боловсруулах логикийг тодорхойлдог бодлого боловсруулах гэсэн хоёр үндсэн бүтцэд ордог. Үүний зэрэгцээ администраторын үүсгэсэн бодлогыг цацаж буй vManage нь ямар өөрчлөлт, ямар төхөөрөмж/хянагчийг хийх шаардлагатайг автоматаар сонгох бөгөөд энэ нь шийдлийн үр ашиг, өргөтгөх чадварыг ихээхэн нэмэгдүүлдэг.

    vManage интерфэйсээр дамжуулан зөвхөн Cisco SD-WAN шийдлийн тохиргоог хийх боломжтой төдийгүй шийдлийн бүх бүрэлдэхүүн хэсгүүдийн төлөв байдлыг бүрэн хянах боломжтой бөгөөд тус тусын хонгилын хэмжүүрийн өнөөгийн байдал, төрөл бүрийн хэрэглээний статистикийг хүртэл хянах боломжтой. DPI шинжилгээнд үндэслэсэн.

    Харилцааны төвлөрсөн байдлыг үл харгалзан бүх бүрэлдэхүүн хэсгүүд (хянагч ба чиглүүлэгч) нь бүрэн ажиллагаатай CLI командын мөртэй байдаг бөгөөд үүнийг хэрэгжүүлэх үе шатанд эсвэл орон нутгийн оношилгооны яаралтай тусламжийн үед шаардлагатай байдаг. Хэвийн горимд (бүрэлдэхүүн хэсгүүдийн хооронд дохионы суваг байгаа бол) чиглүүлэгчид командын мөр нь зөвхөн оношлогоонд зориулагдсан бөгөөд орон нутгийн өөрчлөлтийг хийх боломжгүй бөгөөд энэ нь орон нутгийн аюулгүй байдлыг баталгаажуулдаг бөгөөд ийм сүлжээнд өөрчлөлт оруулах цорын ганц эх үүсвэр нь vManage юм.

Нэгдсэн аюулгүй байдал Энд бид зөвхөн нээлттэй сувгаар дамжих үед хэрэглэгчийн өгөгдлийг хамгаалах тухай төдийгүй сонгосон технологид суурилсан WAN сүлжээний ерөнхий аюулгүй байдлын тухай ярьж байна.

  • в DMVPN/PfR Хэрэглэгчийн өгөгдөл болон дохионы протоколуудыг шифрлэх боломжтой. Зарим чиглүүлэгчийн загваруудыг ашиглах үед замын хөдөлгөөний хяналт, IPS/IDS бүхий галт ханын функцийг нэмж ашиглах боломжтой. VRF ашиглан салбар сүлжээг сегментчилэх боломжтой. Энэ нь (нэг хүчин зүйл) хяналтын протоколуудыг баталгаажуулах боломжтой.

    Энэ тохиолдолд алсын чиглүүлэгчийг анхдагчаар сүлжээний найдвартай элемент гэж үздэг - i.e. бие даасан төхөөрөмжүүдийн бие махбодийн эвдрэлийн тохиолдол, тэдгээрт зөвшөөрөлгүй нэвтрэх боломжийг тооцдоггүй, тооцдоггүй; газарзүйн хувьд тархсан сүлжээний хувьд шийдлийн бүрэлдэхүүн хэсгүүдийн хоёр хүчин зүйлийн баталгаажуулалт байхгүй байна. ихээхэн нэмэлт эрсдэл дагуулж болзошгүй.

  • в SD WAN DMVPN-тэй адилаар хэрэглэгчийн өгөгдлийг шифрлэх боломжийг олгодог боловч сүлжээний аюулгүй байдал, L3/VRF сегментчиллийн функцүүд (галт хана, IPS/IDS, URL шүүлтүүр, DNS шүүлтүүр, AMP/TG, SASE, TLS/SSL прокси, гэх мэт) г.). Үүний зэрэгцээ, нууцлалын гэрчилгээнд суурилсан DTLS/TLS шифрлэлтээр хамгаалагдсан урьдчилан тогтоосон дохионы сувгуудаар дамжуулан (шууд биш) vSmart хянагчаар дамжуулан шифрлэлтийн түлхүүр солилцох нь илүү үр дүнтэй байдаг. Энэ нь эргээд ийм солилцооны аюулгүй байдлыг баталгаажуулж, нэг сүлжээнд байгаа хэдэн арван мянган төхөөрөмжүүдийн шийдлийг илүү сайн өргөжүүлэх боломжийг олгодог.

    Бүх дохионы холболтууд (хянагч-хянагч, хянагч-чиглүүлэгч) нь DTLS/TLS дээр тулгуурлан хамгаалагдсан. Чиглүүлэгчид үйлдвэрлэлийн явцад аюулгүй байдлын гэрчилгээгээр тоноглогдсон бөгөөд солих / сунгах боломжтой. Хоёр хүчин зүйлийн баталгаажуулалтыг чиглүүлэгч/хянагч SD-WAN сүлжээнд ажиллах хоёр нөхцлийг нэгэн зэрэг биелүүлэх замаар хийдэг.

    • Хүчинтэй аюулгүй байдлын гэрчилгээ
    • Зөвшөөрөгдсөн төхөөрөмжүүдийн "цагаан" жагсаалтад бүрэлдэхүүн хэсэг бүрийг администратор тодорхой бөгөөд ухамсартайгаар оруулах.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

SD-WAN болон DMVPN/PfR хоорондын функциональ ялгаа

Функциональ ялгаатай байдлын талаар ярихдаа тэдгээрийн олонх нь архитектурын үргэлжлэл гэдгийг тэмдэглэх нь зүйтэй - шийдлийн архитектурыг бүрдүүлэхдээ хөгжүүлэгчид эцсийн эцэст олж авахыг хүсч буй чадвараасаа эхэлдэг нь нууц биш юм. Хоёр технологийн хоорондох хамгийн чухал ялгааг авч үзье.

AppQ (Програмын чанар) - бизнесийн хэрэглээний урсгалыг дамжуулах чанарыг хангах функцууд

Харгалзан үзэж буй технологийн үндсэн чиг үүрэг нь тархсан сүлжээнд бизнесийн чухал програмуудыг ашиглах үед хэрэглэгчийн туршлагыг аль болох сайжруулахад чиглэгддэг. Дэд бүтцийн нэг хэсэг нь мэдээллийн технологийн хяналтгүй эсвэл өгөгдөл дамжуулахыг баталгаажуулдаггүй нөхцөлд энэ нь ялангуяа чухал юм.

DMVPN нь өөрөө ийм механизмаар хангадаггүй. Сонгодог DMVPN сүлжээнд хийж болох хамгийн сайн зүйл бол гарч буй траффикийг програмаар нь ангилж, WAN суваг руу дамжуулах үед үүнийг эрэмбэлэх явдал юм. Энэ тохиолдолд DMVPN хонгилын сонголтыг зөвхөн түүний бэлэн байдал, чиглүүлэлтийн протоколын үйл ажиллагааны үр дүнгээр тодорхойлно. Үүний зэрэгцээ, сүлжээний хэрэглээнд чухал ач холбогдолтой гол хэмжүүрүүдийн хувьд зам/хонгилын төгсгөл хүртэлх төлөв байдал, түүний боломжит хэсэгчилсэн доройтлыг тооцдоггүй - саатал, саатлын хэлбэлзэл (життер) ба алдагдал (%) ). Үүнтэй холбогдуулан AppQ асуудлыг шийдвэрлэх үүднээс сонгодог DMVPN-ийг SD-WAN-тай шууд харьцуулах нь бүх утгыг алддаг - DMVPN энэ асуудлыг шийдэж чадахгүй. Энэ хүрээнд Cisco Performance Routing (PfR) технологийг нэмэхэд нөхцөл байдал өөрчлөгдөж, Cisco SD-WAN-тай харьцуулах нь илүү утга учиртай болно.

Ялгаатай байдлын талаар ярихаасаа өмнө технологиуд хэрхэн ижил төстэй болохыг товчхон харцгаая. Тиймээс, хоёр технологи нь:

  • Тогтоосон хонгил бүрийн төлөвийг тодорхой хэмжүүрээр динамикаар үнэлэх боломжийг олгодог механизмтай байх - хамгийн багадаа, саатал, саатлын өөрчлөлт, пакетийн алдагдал (%)
  • хонгилын гол хэмжигдэхүүнүүдийн төлөв байдлыг хэмжих үр дүнг харгалзан замын хөдөлгөөний удирдлагын дүрмийг (бодлогыг) бүрдүүлэх, түгээх, хэрэгжүүлэх тусгай багц хэрэгслийг ашиглах.
  • OSI загварын L3-L4 (DSCP) түвшинд програмын урсгалыг эсвэл чиглүүлэгчид суурилуулсан DPI механизм дээр үндэслэн L7 програмын гарын үсгээр ангилах
  • Чухал ач холбогдол бүхий хэрэглээний хувьд тэдгээр нь хэмжигдэхүүний зөвшөөрөгдөх босго утгууд, анхдагчаар траффик дамжуулах дүрэм, босго хэмжээнээс хэтэрсэн тохиолдолд замын хөдөлгөөний чиглэлийг өөрчлөх дүрмийг тодорхойлох боломжийг танд олгоно.
  • GRE/IPSec дэх траффикийг багтаахдаа тэд дотоод DSCP тэмдэглэгээг гадаад GRE/IPSEC пакетийн толгой руу шилжүүлэхэд аль хэдийн бий болсон салбарын механизмыг ашигладаг бөгөөд энэ нь байгууллага болон харилцаа холбооны операторын QoS бодлогыг (хэрэв зохих SLA байгаа бол) синхрончлох боломжийг олгодог. .

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

SD-WAN болон DMVPN/PfR төгсгөл хоорондын хэмжүүрүүд хэрхэн ялгаатай вэ?

DMVPN/PfR

  • Идэвхтэй болон идэвхгүй программ хангамжийн мэдрэгч (Probes) нь хонгилын эрүүл мэндийн стандарт хэмжигдэхүүнийг үнэлэхэд ашиглагддаг. Идэвхтэй нь хэрэглэгчийн траффик дээр суурилдаг бол идэвхгүй нь ийм урсгалыг дуурайдаг (байхгүй бол).
  • Цаг хэмжигчийг нарийн тааруулах, доройтлыг илрүүлэх нөхцөл байхгүй - алгоритм нь тогтмол байна.
  • Нэмж дурдахад, гарах чиглэлд ашигласан зурвасын өргөнийг хэмжих боломжтой. Энэ нь DMVPN/PfR-д хөдөлгөөний удирдлагын нэмэлт уян хатан байдлыг нэмж өгдөг.
  • Үүний зэрэгцээ, зарим PfR механизмууд хэмжигдэхүүнийг хэтрүүлсэн тохиолдолд хүлээн авагчаас эх үүсвэр рүү чиглэсэн тусгай TCA (Босго гатлах дохио) мессеж хэлбэрээр санал хүсэлтийн дохиололд тулгуурладаг бөгөөд энэ нь эргээд замын хөдөлгөөний төлөв байдлыг харгалзан үздэг. хэмжсэн сувгууд нь наад зах нь ийм TCA мессежийг дамжуулахад хангалттай байх ёстой. Энэ нь ихэнх тохиолдолд асуудал биш боловч баталгаатай байж болохгүй.

SD WAN

  • Стандарт хонгилын төлөвийн хэмжигдэхүүнийг төгсгөлөөс төгсгөлд нь үнэлэхийн тулд BFD протоколыг цуурай горимд ашигладаг. Энэ тохиолдолд TCA эсвэл үүнтэй төстэй мессеж хэлбэрээр тусгай санал хүсэлт өгөх шаардлагагүй - бүтэлгүйтлийн домэйнуудын тусгаарлалтыг хадгална. Мөн хонгилын төлөвийг үнэлэхийн тулд хэрэглэгчийн урсгалыг шаарддаггүй.
  • Харилцааны сувгийн доройтолд алгоритмын хариу урвалын хурд, мэдрэмжийг хэдэн секундээс минут хүртэл зохицуулахын тулд BFD таймерыг нарийн тааруулах боломжтой.

    Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

  • Үүнийг бичиж байх үед хонгил бүрт зөвхөн нэг BFD сесс байдаг. Энэ нь хонгилын төлөв байдлын шинжилгээнд бага нарийвчлалыг бий болгож болзошгүй. Бодит байдал дээр, хэрэв та тохиролцсон QoS SLA-тай MPLS L2/L3 VPN-д суурилсан WAN холболтыг ашигладаг бол энэ нь зөвхөн хязгаарлалт болно - хэрэв BFD траффикийн DSCP тэмдэглэгээ (IPSec/GRE-д бүрхсэний дараа) дээрх өндөр ач холбогдолтой дараалалтай таарч байвал. харилцаа холбооны операторын сүлжээ, дараа нь энэ нь бага ач холбогдол бүхий траффикийн доройтлыг илрүүлэх нарийвчлал, хурдад нөлөөлж болзошгүй. Үүний зэрэгцээ ийм нөхцөл байдлын эрсдлийг бууруулахын тулд анхдагч BFD шошгыг өөрчлөх боломжтой. Cisco SD-WAN програм хангамжийн ирээдүйн хувилбаруудад BFD-ийн илүү нарийвчилсан тохиргоог хийхээс гадна DSCP-ийн утгууд (өөр өөр хэрэглээний хувьд) нэг хонгил дотор олон BFD сессийг эхлүүлэх боломжтой болно.
  • BFD нь тодорхой хонгилоор хуваагдалгүйгээр дамжих хамгийн их пакетийн хэмжээг тооцоолох боломжийг танд олгоно. Энэ нь SD-WAN-д MTU, TCP MSS Adjust зэрэг параметрүүдийг динамикаар тохируулах боломжийг олгодог бөгөөд энэ нь холбоос тус бүрийн боломжтой зурвасын өргөнийг ашиглах боломжийг олгодог.
  • SD-WAN-д харилцаа холбооны операторуудаас QoS синхрончлол хийх боломжтой бөгөөд энэ нь зөвхөн L3 DSCP талбарууд дээр суурилж зогсохгүй L2 CoS утгууд дээр суурилсан бөгөөд тусгай төхөөрөмж, жишээ нь IP гэх мэт салбар сүлжээнд автоматаар үүсгэж болно. утаснууд

AppQ бодлогуудыг тодорхойлох, хэрэгжүүлэх чадвар, аргууд нь хэрхэн ялгаатай вэ?

DMVPN/PfR бодлого:

  • CLI командын мөр эсвэл CLI тохиргооны загваруудаар дамжуулан төв салбар чиглүүлэгч(үүд) дээр тодорхойлогдсон. CLI загваруудыг үүсгэхийн тулд бодлогын синтакс бэлтгэх, мэдлэгтэй байх шаардлагатай.

    Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

  • Дэлхий даяар тодорхойлсон бие даасан сүлжээний сегментүүдийн шаардлагад бие даасан тохиргоо хийх/өөрчлөх боломжгүй.
  • График интерфэйс дээр интерактив бодлого үүсгэх боломжгүй.
  • Өөрчлөлтийг хянах, удамших, хурдан солих бодлогын олон хувилбарыг бий болгох боломжгүй.
  • Алслагдсан салбаруудын чиглүүлэгчид автоматаар хуваарилагдана. Энэ тохиолдолд хэрэглэгчийн өгөгдлийг дамжуулахтай ижил холбооны сувгуудыг ашигладаг. Төв болон алслагдсан салбар хоорондын харилцаа холбооны суваг байхгүй бол бодлогыг хуваарилах/өөрчлөх боломжгүй.
  • Тэдгээрийг чиглүүлэгч бүрт ашигладаг бөгөөд шаардлагатай бол стандарт чиглүүлэлтийн протоколын үр дүнг өөрчилдөг бөгөөд энэ нь илүү чухал ач холбогдолтой юм.
  • Бүх салбар WAN холбоосууд нь замын хөдөлгөөний ихээхэн алдагдалд орсон тохиолдолд, нөхөн олговор олгох механизм байхгүй.

SD-WAN бодлого:

  • Интерактив загварын шидтэнээр дамжуулан vManage GUI-д тодорхойлогдсон.
  • Бодит цаг хугацаанд олон бодлого үүсгэх, хуулах, өвлөх, бодлого хооронд шилжихийг дэмждэг.
  • Сүлжээний өөр өөр сегмент (салбар)-ын хувийн бодлогын тохиргоог дэмждэг.
  • Тэдгээрийг хянагч ба чиглүүлэгч ба/эсвэл vSmart-ын хооронд байгаа дохионы сувгийг ашиглан түгээдэг - чиглүүлэгчийн хоорондох өгөгдлийн хавтгайн холболтоос шууд хамаардаггүй. Энэ нь мэдээжийн хэрэг чиглүүлэгч өөрөө болон хянагчуудын хооронд IP холболтыг шаарддаг.

    Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

  • Салбарын боломжтой бүх салбарууд чухал хэрэглээний хувьд хүлээн зөвшөөрөгдөх босго хэмжээнээс давсан их хэмжээний өгөгдлийн алдагдалд орсон тохиолдолд дамжуулалтын найдвартай байдлыг нэмэгдүүлэх нэмэлт механизмуудыг ашиглаж болно.
    • FEC (Forward Error Correction) – тусгай илүүдэл кодлох алгоритмыг ашигладаг. Маш их хэмжээний алдагдалтай сувгуудаар чухал урсгалыг дамжуулах үед FEC автоматаар идэвхжиж, шаардлагатай бол алдагдсан өгөгдлийн хэсгийг сэргээх боломжийг олгодог. Энэ нь ашигласан дамжуулах зурвасын өргөнийг бага зэрэг нэмэгдүүлдэг боловч найдвартай байдлыг ихээхэн сайжруулдаг.

      Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

    • Өгөгдлийн урсгалын давхардал – Энэхүү бодлого нь FEC-ээс гадна FEC-ээр нөхөн төлөх боломжгүй илүү ноцтой хэмжээний алдагдлын үед сонгосон програмуудын траффикийг автоматаар хуулбарлах боломжийг олгодог. Энэ тохиолдолд сонгосон өгөгдлийг бүх хонгилоор дамжуулан хүлээн авагч салбар руу дамжуулж, дараа нь хуулбарлах (багтаамжийн нэмэлт хуулбарыг хаях) болно. Механизм нь сувгийн ашиглалтыг ихээхэн нэмэгдүүлдэг боловч дамжуулалтын найдвартай байдлыг ихээхэн нэмэгдүүлдэг.

DMVPN/PfR-д шууд аналоггүй Cisco SD-WAN боломжууд

Cisco SD-WAN шийдлийн архитектур нь зарим тохиолдолд DMVPN/PfR-ийн хүрээнд хэрэгжүүлэхэд туйлын хэцүү, эсвэл шаардлагатай хөдөлмөрийн зардлаас болж боломжгүй, эсвэл бүрэн боломжгүй боломжуудыг олж авах боломжийг олгодог. Тэдгээрээс хамгийн сонирхолтойг нь харцгаая:

Замын хөдөлгөөний инженерчлэл (TE)

TE нь чиглүүлэлтийн протоколоор үүсгэгдсэн стандарт замаас урсгалыг салбарлах боломжийг олгодог механизмуудыг агуулдаг. Үйлчилгээний чанарыг сайжруулах эсвэл бүтэлгүйтсэн тохиолдолд сэргээх хурдыг хангах үүднээс чухал урсгалыг өөр (салгасан) дамжуулах зам руу хурдан ба/эсвэл идэвхтэй шилжүүлэх замаар сүлжээний үйлчилгээний өндөр хүртээмжийг хангах зорилгоор TE-г ихэвчлэн ашигладаг. гол зам дээр.

TE-ийг хэрэгжүүлэхэд бэрхшээлтэй байгаа нь өөр замыг урьдчилан тооцоолох, нөөцлөх (шалгах) хэрэгцээнд оршдог. Харилцаа холбооны операторуудын MPLS сүлжээнд энэ асуудлыг IGP протокол болон RSVP протоколын өргөтгөл бүхий MPLS Traffic-Engineering зэрэг технологийг ашиглан шийддэг. Мөн сүүлийн үед төвлөрсөн тохиргоо, зохион байгуулалтад илүү оновчтой болсон Segment Routing технологи улам бүр түгээмэл болж байна. Сонгодог WAN сүлжээнд эдгээр технологиудыг ихэвчлэн төлөөлдөггүй эсвэл Бодлого-д суурилсан чиглүүлэлт (PBR) гэх мэт урсгалыг салбарлах чадвартай хоп-хоп механизмуудад ашигладаггүй, гэхдээ үүнийг чиглүүлэгч бүр дээр тусад нь хэрэгжүүлдэг. өмнөх эсвэл дараагийн алхмуудын сүлжээ эсвэл PBR үр дүнгийн ерөнхий төлөвийг харгалзан үзэх. Эдгээр TE сонголтуудыг ашигласны үр дүн нь сэтгэл дундуур байна - тохиргоо, үйл ажиллагааны нарийн төвөгтэй байдлаас шалтгаалан MPLS TE нь дүрмээр бол зөвхөн сүлжээний хамгийн чухал хэсэгт (үндсэн) ашиглагддаг бөгөөд PBR нь тусдаа чиглүүлэгчид ашиглагддаггүй. бүхэл сүлжээнд нэгдсэн PBR бодлогыг бий болгох чадвар. Мэдээжийн хэрэг, энэ нь DMVPN-д суурилсан сүлжээнд ч хамаатай.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Үүнтэй холбогдуулан SD-WAN нь илүү гоёмсог шийдлийг санал болгодог бөгөөд үүнийг тохируулахад хялбар төдийгүй илүү сайн масштабтай байдаг. Энэ нь ашигласан хяналтын хавтгай ба бодлого-хавтгай архитектурын үр дүн юм. SD-WAN-д бодлогын хавтгайг хэрэгжүүлэх нь танд TE бодлогыг төвлөрсөн байдлаар тодорхойлох боломжийг олгодог - ямар урсгалыг сонирхож байна вэ? ямар VPN-д зориулагдсан бэ? Аль зангилаа/хонгилоор дамжин өнгөрөх шаардлагатай вэ, эсвэл эсрэгээр нь өөр маршрут үүсгэхийг хориглодог вэ? Хариуд нь vSmart хянагч дээр суурилсан удирдлагын хавтгайн удирдлагын төвлөрөл нь бие даасан төхөөрөмжийн тохиргоонд хандахгүйгээр чиглүүлэлтийн үр дүнг өөрчлөх боломжийг олгодог - чиглүүлэгчид зөвхөн vManage интерфэйс дээр үүсгэгдсэн логикийн үр дүнг харж, ашиглахаар шилжүүлсэн. vSmart.

Үйлчилгээний хэлхээ

Үйлчилгээний сүлжээг бий болгох нь сонгодог чиглүүлэлтийн хувьд аль хэдийн тайлбарласан Замын хөдөлгөөний инженерийн механизмаас илүү их хөдөлмөр шаарддаг ажил юм. Үнэн хэрэгтээ, энэ тохиолдолд зөвхөн тодорхой сүлжээний програмын тусгай маршрут үүсгэхээс гадна SD-WAN сүлжээний тодорхой (эсвэл бүх) зангилаанууд дээрх сүлжээнээс траффикийг устгах боломжийг хангах шаардлагатай. тусгай програм эсвэл үйлчилгээ (галт хана, тэнцвэржүүлэх, кэш, хяналт шалгалт гэх мэт). Үүний зэрэгцээ хар нүхний нөхцөл байдлаас урьдчилан сэргийлэхийн тулд эдгээр гадаад үйлчилгээний төлөв байдлыг хянах чадвартай байх шаардлагатай бөгөөд ижил төрлийн гадаад үйлчилгээг өөр өөр гео байршилд байрлуулах боломжийг олгодог механизм шаардлагатай байна. тухайн салбарын урсгалыг боловсруулахад хамгийн оновчтой үйлчилгээний цэгийг автоматаар сонгох сүлжээний чадвартай. Cisco SD-WAN-ийн хувьд зорилтот үйлчилгээний гинжин хэлхээний бүх талыг нэг цогц болгон "нааж", өгөгдлийн болон удирдлагын хавтгай логикийг автоматаар өөрчилдөг зохих төвлөрсөн бодлогыг бий болгосноор үүнийг хийхэд маш хялбар байдаг. мөн шаардлагатай үед.

Cisco SD-WAN нь DMVPN-ийн суудаг салбарыг таслах уу?

Сонгосон төрлийн хэрэглээний траффикийг тодорхой дарааллаар тусгайлсан (гэхдээ SD-WAN сүлжээтэй холбоогүй) төхөөрөмж дээр үүсгэх чадвар нь Cisco SD-WAN-ийн сонгодог хувилбараас давуу талыг харуулсан хамгийн тод жишээ юм. технологи, тэр ч байтугай зарим өөр SD шийдлүүд - бусад үйлдвэрлэгчдийн WAN.

Эцсийн эцэст юу вэ?

Мэдээжийн хэрэг, DMVPN (Гүйцэтгэлийн чиглүүлэлттэй эсвэл байхгүй) болон Cisco SD-WAN хоёулаа эцэст нь маш төстэй асуудлуудыг шийддэг байгууллагын тархсан WAN сүлжээтэй холбоотой. Үүний зэрэгцээ Cisco SD-WAN технологийн архитектурын болон функциональ ялгаа нь эдгээр асуудлыг шийдвэрлэх үйл явцад хүргэдэг. чанарын өөр түвшинд. Дүгнэж хэлэхэд бид SD-WAN болон DMVPN/PfR технологиудын хоорондох дараах мэдэгдэхүйц ялгааг тэмдэглэж болно.

  • DMVPN/PfR нь ерөнхийдөө давхцсан VPN сүлжээг бий болгоход цаг хугацаагаар туршсан технологийг ашигладаг бөгөөд өгөгдлийн түвшний хувьд илүү орчин үеийн SD-WAN технологитой төстэй боловч заавал статик тохиргооны хэлбэрээр хэд хэдэн хязгаарлалтууд байдаг. чиглүүлэгчийн тоо болон топологийн сонголт нь Hub-n-Spoke-д хязгаарлагддаг. Нөгөө талаас, DMVPN/PfR нь SD-WAN-д хараахан байхгүй байгаа зарим функцтэй байдаг (бид програм бүрийн BFD-ийн тухай ярьж байна).
  • Хяналтын хавтгайд технологи нь үндсэндээ ялгаатай. Дохионы протоколуудын төвлөрсөн боловсруулалтыг харгалзан үзэхэд SD-WAN нь ялангуяа эвдрэлийн домэйнүүдийг мэдэгдэхүйц нарийсгаж, дохионы харилцан үйлчлэлээс хэрэглэгчийн урсгалыг дамжуулах үйл явцыг "салгах" боломжийг олгодог - хянагч түр зуур байхгүй байгаа нь хэрэглэгчийн урсгалыг дамжуулах чадварт нөлөөлөхгүй. . Үүний зэрэгцээ аливаа салбар (төв салбарыг оруулаад) түр хугацаагаар ажиллахгүй байх нь бусад салбаруудын бие биетэйгээ болон хянагчтай харилцах чадварт ямар ч байдлаар нөлөөлөхгүй.
  • SD-WAN-ийн хувьд замын хөдөлгөөний удирдлагын бодлогыг бий болгох, хэрэглэх архитектур нь DMVPN/PfR-ээс ч илүү байдаг - гео-захиалга нь илүү сайн хэрэгжсэн, Hub-тай холбоогүй, торгууль хийх боломжууд их байна. -тохируулгын бодлого, хэрэгжүүлсэн замын хөдөлгөөний менежментийн хувилбаруудын жагсаалт бас хамаагүй том байна.
  • Уусмалыг зохион байгуулах үйл явц нь бас эрс ялгаатай. DMVPN нь тохиргоонд ямар нэгэн байдлаар тусгагдсан байх ёстой урьд нь мэдэгдэж байсан параметрүүд байгаа гэж үздэг бөгөөд энэ нь шийдлийн уян хатан байдал, динамик өөрчлөлтийн боломжийг тодорхой хэмжээгээр хязгаарладаг. Хариуд нь SD-WAN нь холболтын эхний мөчид чиглүүлэгч нь хянагчдынхаа талаар "юу ч мэдэхгүй" гэсэн ойлголт дээр суурилдаг, гэхдээ "та хэнээс асууж болохыг" мэддэг - энэ нь автоматаар холбоо тогтооход хангалттай юм. хянагч, мөн автоматаар бүрэн холбогдсон өгөгдлийн хавтгай топологийг бүрдүүлэх, дараа нь бодлогыг ашиглан уян хатан тохируулах/өөрчлөх боломжтой.
  • Төвлөрсөн удирдлага, автоматжуулалт, хяналтын хувьд SD-WAN нь сонгодог технологиос хувьсан өөрчлөгдөж, CLI командын мөр болон загварт суурилсан NMS системийг ашиглахад илүү тулгуурласан DMVPN/PfR-ийн чадавхийг давах төлөвтэй байна.
  • SD-WAN-д DMVPN-тэй харьцуулахад аюулгүй байдлын шаардлага өөр чанарын түвшинд хүрсэн. Гол зарчим нь итгэлцэл байхгүй, өргөтгөх чадвар, хоёр хүчин зүйлийн баталгаажуулалт юм.

Эдгээр энгийн дүгнэлтүүд нь DMVPN/PfR дээр суурилсан сүлжээг бий болгох нь өнөөдөр бүх ач холбогдлоо алдсан гэсэн буруу ойлголтыг төрүүлж магадгүй юм. Энэ нь мэдээжийн хэрэг бүрэн үнэн биш юм. Жишээлбэл, сүлжээнд олон тооны хуучирсан тоног төхөөрөмж ашигладаг бөгөөд үүнийг солих боломжгүй тохиолдолд DMVPN нь "хуучин" болон "шинэ" төхөөрөмжүүдийг нэг гео тархсан сүлжээнд нэгтгэх боломжийг танд олгоно. дээрх.

Нөгөөтэйгүүр, IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) дээр суурилсан одоогийн бүх Cisco корпорацын чиглүүлэгчид өнөөдөр сонгодог чиглүүлэлт болон DMVPN болон SD-WAN аль аль нь үйлдлийн горимыг дэмждэг гэдгийг санах нь зүйтэй. Сонголт нь одоогийн хэрэгцээ шаардлага, ямар ч үед ижил тоног төхөөрөмжийг ашиглан илүү дэвшилтэт технологи руу шилжиж эхлэх боломжтой гэсэн ойлголтоор тодорхойлогддог.

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх