ProHoster > Blog > Pentadbiran > Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Sejak Ogos 2017, apabila Cisco memperoleh Viptela, teknologi utama yang ditawarkan untuk mengatur rangkaian perusahaan teragih telah menjadi Cisco SD-WAN. Sepanjang 3 tahun yang lalu, teknologi SD-WAN telah melalui banyak perubahan, baik secara kualitatif mahupun kuantitatif. Oleh itu, fungsi telah berkembang dengan ketara dan sokongan telah muncul pada penghala klasik siri ini Cisco ISR 1000, ISR 4000, ASR 1000 dan CSR Maya 1000v. Pada masa yang sama, ramai pelanggan dan rakan kongsi Cisco terus tertanya-tanya: apakah perbezaan antara Cisco SD-WAN dan pendekatan yang sudah biasa berdasarkan teknologi seperti Cisco DMVPN ΠΈ Penghalaan Prestasi Cisco dan betapa pentingnya perbezaan ini?

Di sini kita harus segera membuat tempahan bahawa sebelum kemunculan SD-WAN dalam portfolio Cisco, DMVPN bersama-sama dengan PfR membentuk bahagian penting dalam seni bina Cisco IWAN (WAN Pintar), yang seterusnya merupakan pendahulu teknologi SD-WAN sepenuhnya. Walaupun persamaan umum kedua-dua tugas yang sedang diselesaikan dan kaedah untuk menyelesaikannya, IWAN tidak pernah menerima tahap automasi, fleksibiliti dan skalabiliti yang diperlukan untuk SD-WAN, dan dari semasa ke semasa, pembangunan IWAN telah menurun dengan ketara. Pada masa yang sama, teknologi yang membentuk IWAN masih belum hilang, dan ramai pelanggan terus menggunakannya dengan jayanya, termasuk pada peralatan moden. Akibatnya, situasi yang menarik telah timbul - peralatan Cisco yang sama membolehkan anda memilih teknologi WAN yang paling sesuai (klasik, DMVPN+PfR atau SD-WAN) mengikut keperluan dan jangkaan pelanggan.

Artikel itu tidak berhasrat untuk menganalisis secara terperinci semua ciri Cisco SD-WAN dan teknologi DMVPN (dengan atau tanpa Penghalaan Prestasi) - terdapat sejumlah besar dokumen dan bahan yang tersedia untuk ini. Tugas utama ialah cuba menilai perbezaan utama antara teknologi ini. Tetapi sebelum meneruskan untuk membincangkan perbezaan ini, mari kita ingat secara ringkas teknologi itu sendiri.

Apakah Cisco DMVPN dan mengapa ia diperlukan?

Cisco DMVPN menyelesaikan masalah sambungan dinamik (= berskala) rangkaian cawangan jauh ke rangkaian pejabat pusat perusahaan apabila menggunakan jenis saluran komunikasi sewenang-wenangnya, termasuk Internet (= dengan penyulitan saluran komunikasi). Secara teknikal, ini direalisasikan dengan mencipta rangkaian tindanan maya kelas VPN L3 dalam mod titik ke berbilang titik dengan topologi logik jenis "Bintang" (Hub-n-Spoke). Untuk mencapai matlamat ini, DMVPN menggunakan gabungan teknologi berikut:

  • penghalaan IP
  • Terowong GRE berbilang titik (mGRE)
  • Protokol Resolusi Hop Seterusnya (NHRP)
  • Profil IPSec Crypto

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Apakah kelebihan utama Cisco DMVPN berbanding dengan penghalaan klasik menggunakan saluran MPLS VPN?

  • Untuk mencipta rangkaian antara cawangan, adalah mungkin untuk menggunakan mana-mana saluran komunikasi - apa sahaja yang boleh menyediakan sambungan IP antara cawangan adalah sesuai, manakala trafik akan disulitkan (jika perlu) dan seimbang (jika boleh)
  • Topologi yang bersambung sepenuhnya antara cawangan terbentuk secara automatik. Pada masa yang sama, terdapat terowong statik antara cawangan pusat dan terpencil, dan terowong dinamik atas permintaan antara cawangan terpencil (jika terdapat trafik)
  • Penghala cawangan pusat dan jauh mempunyai konfigurasi yang sama sehingga alamat IP antara muka. Dengan menggunakan mGRE, tidak perlu mengkonfigurasi puluhan, ratusan atau bahkan ribuan terowong secara individu. Hasilnya, kebolehskalaan yang baik dengan reka bentuk yang betul.

Apakah Cisco Performance Routing dan mengapa ia diperlukan?

Apabila menggunakan DMVPN pada rangkaian antara cawangan, satu soalan yang sangat penting masih tidak dapat diselesaikan - bagaimana untuk menilai secara dinamik keadaan setiap terowong DMVPN untuk pematuhan dengan keperluan trafik yang kritikal untuk organisasi kami dan, sekali lagi, berdasarkan penilaian sedemikian, secara dinamik membuat keputusan untuk mengubah hala? Hakikatnya ialah DMVPN dalam bahagian ini berbeza sedikit daripada penghalaan klasik - yang terbaik yang boleh dilakukan ialah mengkonfigurasi mekanisme QoS yang akan membolehkan anda mengutamakan trafik ke arah keluar, tetapi sama sekali tidak mampu mengambil kira keadaan keseluruhan laluan pada satu masa atau yang lain.

Dan apa yang perlu dilakukan jika saluran merosot sebahagiannya dan tidak sepenuhnya - bagaimana untuk mengesan dan menilai ini? DMVPN sendiri tidak boleh melakukan ini. Memandangkan saluran yang menyambungkan cawangan boleh melalui pengendali telekomunikasi yang sama sekali berbeza, menggunakan teknologi yang sama sekali berbeza, tugas ini menjadi sangat tidak remeh. Dan di sinilah teknologi Cisco Performance Routing datang untuk menyelamatkan, yang pada masa itu telah pun melalui beberapa peringkat pembangunan.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Tugas Cisco Performance Routing (selepas ini dirujuk sebagai PfR) adalah untuk mengukur keadaan laluan (terowong) trafik berdasarkan metrik utama yang penting untuk aplikasi rangkaian - kependaman, variasi kependaman (jitter) dan kehilangan paket (peratusan). Selain itu, lebar jalur yang digunakan boleh diukur. Pengukuran ini berlaku sedekat mungkin dengan masa nyata dan wajar, dan hasil pengukuran ini membolehkan penghala yang menggunakan PfR membuat keputusan secara dinamik tentang keperluan untuk menukar penghalaan jenis trafik ini atau itu.

Oleh itu, tugas gabungan DMVPN/PfR boleh diterangkan secara ringkas seperti berikut:

  • Benarkan pelanggan menggunakan mana-mana saluran komunikasi pada rangkaian WAN
  • Pastikan kualiti tertinggi aplikasi kritikal pada saluran ini

Apakah Cisco SD-WAN?

Cisco SD-WAN ialah teknologi yang menggunakan pendekatan SDN untuk mencipta dan mengendalikan rangkaian WAN organisasi. Ini khususnya bermakna penggunaan pengawal yang dipanggil (elemen perisian), yang menyediakan orkestrasi berpusat dan konfigurasi automatik semua komponen penyelesaian. Tidak seperti SDN berkanun (gaya Slate Bersih), Cisco SD-WAN menggunakan beberapa jenis pengawal, yang masing-masing melaksanakan peranannya sendiri - ini dilakukan dengan sengaja untuk memberikan skalabiliti dan geo-redundansi yang lebih baik.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Dalam kes SD-WAN, tugas menggunakan mana-mana jenis saluran dan memastikan operasi aplikasi perniagaan kekal sama, tetapi pada masa yang sama, keperluan untuk automasi, skalabiliti, keselamatan dan fleksibiliti rangkaian sedemikian berkembang.

Perbincangan perbezaan

Jika sekarang kita mula menganalisis perbezaan antara teknologi ini, ia akan jatuh ke dalam salah satu kategori berikut:

  • Perbezaan seni bina - bagaimanakah fungsi diagihkan merentasi pelbagai komponen penyelesaian, bagaimana interaksi komponen tersebut diatur, dan bagaimana ini mempengaruhi keupayaan dan fleksibiliti teknologi?
  • Kefungsian - apakah yang boleh dilakukan oleh satu teknologi yang tidak boleh dilakukan oleh yang lain? Dan adakah ia sangat penting?

Apakah perbezaan seni bina dan adakah ia penting?

Setiap teknologi ini mempunyai banyak "bahagian bergerak" yang berbeza bukan sahaja dalam peranan mereka, tetapi juga dalam cara mereka berinteraksi antara satu sama lain. Sejauh mana prinsip ini difikirkan dan mekanik am penyelesaian secara langsung menentukan kebolehskalaan, toleransi kesalahan dan kecekapan keseluruhannya.

Mari kita lihat pelbagai aspek seni bina dengan lebih terperinci:

Satah data – sebahagian daripada penyelesaian yang bertanggungjawab untuk menghantar trafik pengguna antara sumber dan penerima. DMVPN dan SD-WAN secara amnya dilaksanakan secara identik pada penghala itu sendiri berdasarkan terowong Multipoint GRE. Perbezaannya ialah bagaimana set parameter yang diperlukan untuk terowong ini dibentuk:

  • Π² DMVPN/PfR ialah hierarki dua peringkat nod secara eksklusif dengan topologi Star atau Hub-n-Spoke. Konfigurasi statik Hab dan pengikatan statik Bercakap ke Hab diperlukan, serta interaksi melalui protokol NHRP untuk membentuk sambungan satah data. Akibatnya, membuat perubahan pada Hab dengan ketara lebih sukarberkaitan, sebagai contoh, untuk menukar/menyambung saluran WAN baharu atau menukar parameter yang sedia ada.
  • Π² SD-WAN ialah model dinamik sepenuhnya untuk mengesan parameter terowong yang dipasang berdasarkan satah kawalan (protokol OMP) dan satah orkestrasi (interaksi dengan pengawal vBond untuk pengesanan pengawal dan tugas lintasan NAT). Dalam kes ini, sebarang topologi bertindih boleh digunakan, termasuk yang berhierarki. Dalam topologi terowong tindanan yang telah ditetapkan, konfigurasi fleksibel topologi logik dalam setiap VPN(VRF) individu adalah mungkin.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Pesawat kawalan – fungsi pertukaran, penapisan dan pengubahsuaian penghalaan dan maklumat lain antara komponen penyelesaian.

  • Π² DMVPN/PfR – dijalankan hanya antara penghala Hub dan Spoke. Pertukaran terus maklumat penghalaan antara Spokes tidak boleh dilakukan. Akibatnya, Tanpa Hab yang berfungsi, satah kawalan dan satah data tidak boleh berfungsi, yang mengenakan keperluan ketersediaan tinggi tambahan pada Hab yang tidak selalu dapat dipenuhi.
  • Π² SD-WAN – satah kawalan tidak pernah dijalankan secara langsung antara penghala – interaksi berlaku berdasarkan protokol OMP dan semestinya dijalankan melalui jenis pengawal vSmart khusus yang berasingan, yang menyediakan kemungkinan pengimbangan, tempahan geo dan kawalan terpusat bagi beban isyarat. Satu lagi ciri protokol OMP ialah rintangan ketara terhadap kerugian dan kebebasan daripada kelajuan saluran komunikasi dengan pengawal (dalam had yang munasabah, sudah tentu). Yang sama-sama berjaya membolehkan anda meletakkan pengawal SD-WAN di awan awam atau peribadi dengan akses melalui Internet.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Dasar-satah – sebahagian daripada penyelesaian yang bertanggungjawab untuk mentakrif, mengedar dan menggunakan dasar pengurusan trafik pada rangkaian teragih.

  • DMVPN – dihadkan secara berkesan oleh dasar kualiti perkhidmatan (QoS) yang dikonfigurasikan secara individu pada setiap penghala melalui templat CLI atau Prime Infrastructure.
  • DMVPN/PfR – Dasar PfR dibentuk pada penghala Master Controller (MC) terpusat melalui CLI dan kemudian diedarkan secara automatik kepada MC cawangan. Dalam kes ini, laluan pemindahan dasar yang sama digunakan seperti untuk satah data. Tidak ada kemungkinan untuk memisahkan pertukaran dasar, maklumat penghalaan dan data pengguna. Penyebaran dasar memerlukan kehadiran sambungan IP antara Hab dan Spoke. Dalam kes ini, fungsi MC boleh, jika perlu, digabungkan dengan penghala DMVPN. Adalah mungkin (tetapi tidak diperlukan) untuk menggunakan templat Prime Infrastructure untuk penjanaan dasar berpusat. Ciri penting ialah dasar itu dibentuk secara global di seluruh rangkaian dengan cara yang sama - Dasar individu untuk segmen individu tidak disokong.
  • SD-WAN – dasar pengurusan trafik dan kualiti perkhidmatan ditentukan secara berpusat melalui antara muka grafik Cisco vManage, boleh diakses juga melalui Internet (jika perlu). Ia diedarkan melalui saluran isyarat secara langsung atau tidak langsung melalui pengawal vSmart (bergantung pada jenis dasar). Mereka tidak bergantung pada sambungan satah data antara penghala, kerana gunakan semua laluan trafik yang tersedia antara pengawal dan penghala.

    Untuk segmen rangkaian yang berbeza, adalah mungkin untuk merumuskan dasar yang berbeza secara fleksibel - skop dasar ditentukan oleh banyak pengecam unik yang disediakan dalam penyelesaian - nombor cawangan, jenis aplikasi, arah trafik, dsb.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Orkestrasi-pesawat – mekanisme yang membolehkan komponen mengesan satu sama lain secara dinamik, mengkonfigurasi dan menyelaraskan interaksi seterusnya.

  • Π² DMVPN/PfR Penemuan bersama antara penghala adalah berdasarkan konfigurasi statik peranti Hub dan konfigurasi peranti Spoke yang sepadan. Penemuan dinamik berlaku hanya untuk Spoke, yang melaporkan parameter sambungan Hubnya kepada peranti, yang seterusnya diprakonfigurasikan dengan Spoke. Tanpa sambungan IP antara Spoke dan sekurang-kurangnya satu Hub, adalah mustahil untuk membentuk sama ada satah data atau satah kawalan.
  • Π² SD-WAN penyusunan komponen penyelesaian berlaku menggunakan pengawal vBond, dengan mana setiap komponen (penghala dan pengawal vManage/vSmart) mesti mewujudkan sambungan IP terlebih dahulu.

    Pada mulanya, komponen tidak tahu tentang parameter sambungan satu sama lain - untuk ini mereka memerlukan orkestra perantara vBond. Prinsip umum adalah seperti berikut - setiap komponen dalam fasa awal belajar (secara automatik atau statik) hanya tentang parameter sambungan ke vBond, kemudian vBond memberitahu penghala tentang pengawal vManage dan vSmart (ditemui lebih awal), yang memungkinkan untuk mewujudkan secara automatik. semua sambungan isyarat yang diperlukan.

    Langkah seterusnya adalah untuk penghala baharu mengetahui tentang penghala lain pada rangkaian melalui komunikasi OMP dengan pengawal vSmart. Oleh itu, penghala, tanpa mengetahui apa-apa pada mulanya sama sekali tentang parameter rangkaian, dapat mengesan dan menyambung sepenuhnya secara automatik kepada pengawal dan kemudian juga secara automatik mengesan dan membentuk sambungan dengan penghala lain. Dalam kes ini, parameter sambungan semua komponen pada mulanya tidak diketahui dan mungkin berubah semasa operasi.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Pesawat pengurusan – sebahagian daripada penyelesaian yang menyediakan pengurusan dan pemantauan berpusat.

  • DMVPN/PfR – tiada penyelesaian pengurusan-pesawat khusus disediakan. Untuk automasi dan pemantauan asas, produk seperti Cisco Prime Infrastructure boleh digunakan. Setiap penghala mempunyai keupayaan untuk dikawal melalui baris arahan CLI. Penyepaduan dengan sistem luaran melalui API tidak disediakan.
  • SD-WAN – semua interaksi dan pemantauan tetap dijalankan secara berpusat melalui antara muka grafik pengawal vManage. Semua ciri penyelesaian, tanpa pengecualian, tersedia untuk konfigurasi melalui vManage, serta melalui perpustakaan REST API yang didokumentasikan sepenuhnya.

    Semua tetapan rangkaian SD-WAN dalam vManage turun kepada dua binaan utama - pembentukan templat peranti (Templat Peranti) dan pembentukan dasar yang menentukan logik operasi rangkaian dan pemprosesan trafik. Pada masa yang sama, vManage, menyiarkan dasar yang dijana oleh pentadbir, secara automatik memilih perubahan dan pada peranti/pengawal individu yang perlu dibuat, yang meningkatkan kecekapan dan kebolehskalaan penyelesaian dengan ketara.

    Melalui antara muka vManage, bukan sahaja konfigurasi penyelesaian Cisco SD-WAN tersedia, tetapi juga pemantauan penuh status semua komponen penyelesaian, sehingga ke keadaan semasa metrik untuk terowong individu dan statistik mengenai penggunaan pelbagai aplikasi berdasarkan analisis DPI.

    Walaupun terdapat pemusatan interaksi, semua komponen (pengawal dan penghala) juga mempunyai baris arahan CLI yang berfungsi sepenuhnya, yang diperlukan pada peringkat pelaksanaan atau sekiranya berlaku kecemasan untuk diagnostik tempatan. Dalam mod biasa (jika terdapat saluran isyarat antara komponen) pada penghala, baris arahan hanya tersedia untuk diagnostik dan tidak tersedia untuk membuat perubahan setempat, yang menjamin keselamatan setempat dan satu-satunya sumber perubahan dalam rangkaian tersebut ialah vManage.

Keselamatan Bersepadu – di sini kita harus bercakap bukan sahaja tentang perlindungan data pengguna apabila dihantar melalui saluran terbuka, tetapi juga tentang keselamatan keseluruhan rangkaian WAN berdasarkan teknologi yang dipilih.

  • Π² DMVPN/PfR Adalah mungkin untuk menyulitkan data pengguna dan protokol isyarat. Apabila menggunakan model penghala tertentu, tembok api berfungsi dengan pemeriksaan trafik, IPS/ID tambahan tersedia. Adalah mungkin untuk membahagikan rangkaian cawangan menggunakan VRF. Adalah mungkin untuk mengesahkan protokol kawalan (satu faktor).

    Dalam kes ini, penghala jauh dianggap sebagai elemen rangkaian yang dipercayai secara lalai - i.e. kes kompromi fizikal peranti individu dan kemungkinan akses tanpa kebenaran kepada mereka tidak diandaikan atau diambil kira; tiada pengesahan dua faktor komponen penyelesaian, yang dalam kes rangkaian yang diedarkan secara geografi mungkin membawa risiko tambahan yang ketara.

  • Π² SD-WAN dengan analogi dengan DMVPN, keupayaan untuk menyulitkan data pengguna disediakan, tetapi dengan keselamatan rangkaian yang diperluas dengan ketara dan fungsi segmentasi L3/VRF (firewall, IPS/IDS, penapisan URL, penapisan DNS, AMP/TG, SASE, proksi TLS/SSL, dll.) d.). Pada masa yang sama, pertukaran kunci penyulitan dijalankan dengan lebih cekap melalui pengawal vSmart (bukan secara langsung), melalui saluran isyarat yang telah ditetapkan yang dilindungi oleh penyulitan DTLS/TLS berdasarkan sijil keselamatan. Yang seterusnya menjamin keselamatan pertukaran tersebut dan memastikan kebolehskalaan penyelesaian yang lebih baik sehingga puluhan ribu peranti pada rangkaian yang sama.

    Semua sambungan isyarat (pengawal-ke-pengawal, pengawal-penghala) juga dilindungi berdasarkan DTLS/TLS. Penghala dilengkapi dengan sijil keselamatan semasa pengeluaran dengan kemungkinan penggantian/pelanjutan. Pengesahan dua faktor dicapai melalui pemenuhan mandatori dan serentak dua syarat untuk penghala/pengawal berfungsi dalam rangkaian SD-WAN:

    • Sijil keselamatan yang sah
    • Kemasukan eksplisit dan sedar oleh pentadbir setiap komponen dalam senarai "putih" peranti yang dibenarkan.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Perbezaan fungsi antara SD-WAN dan DMVPN/PfR

Bergerak untuk membincangkan perbezaan fungsi, perlu diperhatikan bahawa kebanyakannya adalah kesinambungan seni bina - bukan rahsia lagi bahawa apabila membentuk seni bina penyelesaian, pemaju bermula dari keupayaan yang mereka ingin dapatkan pada akhirnya. Mari kita lihat perbezaan paling ketara antara kedua-dua teknologi.

AppQ (Kualiti Aplikasi) – berfungsi untuk memastikan kualiti penghantaran trafik aplikasi perniagaan

Fungsi utama teknologi yang sedang dipertimbangkan adalah bertujuan untuk meningkatkan pengalaman pengguna sebanyak mungkin apabila menggunakan aplikasi kritikal perniagaan dalam rangkaian teragih. Ini amat penting dalam keadaan di mana sebahagian daripada infrastruktur tidak dikawal oleh IT atau tidak menjamin pemindahan data yang berjaya.

DMVPN sendiri tidak menyediakan mekanisme sedemikian. Perkara terbaik yang boleh dilakukan dalam rangkaian DMVPN klasik ialah mengklasifikasikan trafik keluar mengikut aplikasi dan mengutamakannya apabila dihantar ke saluran WAN. Pilihan terowong DMVPN ditentukan dalam kes ini hanya dengan ketersediaannya dan hasil operasi protokol penghalaan. Pada masa yang sama, keadaan hujung ke hujung laluan/terowong dan kemungkinan kemerosotan separanya tidak diambil kira dari segi metrik utama yang penting untuk aplikasi rangkaian - kelewatan, variasi kelewatan (jitter) dan kerugian (% ). Dalam hal ini, secara langsung membandingkan DMVPN klasik dengan SD-WAN dari segi menyelesaikan masalah AppQ kehilangan semua makna - DMVPN tidak dapat menyelesaikan masalah ini. Apabila anda menambah teknologi Cisco Performance Routing (PfR) ke dalam konteks ini, situasi berubah dan perbandingan dengan Cisco SD-WAN menjadi lebih bermakna.

Sebelum kita membincangkan perbezaan, berikut adalah pandangan ringkas tentang bagaimana teknologi itu serupa. Jadi, kedua-dua teknologi:

  • mempunyai mekanisme yang membolehkan anda menilai secara dinamik keadaan setiap terowong yang ditetapkan dari segi metrik tertentu - sekurang-kurangnya, kelewatan, variasi kelewatan dan kehilangan paket (%)
  • gunakan set alat khusus untuk membentuk, mengedar dan menggunakan peraturan pengurusan trafik (dasar), dengan mengambil kira keputusan mengukur keadaan metrik terowong utama.
  • mengelaskan trafik aplikasi pada tahap L3-L4 (DSCP) model OSI atau mengikut tandatangan aplikasi L7 berdasarkan mekanisme DPI yang dibina ke dalam penghala
  • Untuk aplikasi penting, ia membenarkan anda menentukan nilai ambang metrik yang boleh diterima, peraturan untuk menghantar trafik secara lalai dan peraturan untuk mengubah hala trafik apabila nilai ambang melebihi.
  • Apabila merangkum trafik dalam GRE/IPSec, mereka menggunakan mekanisme industri yang telah ditetapkan untuk memindahkan penandaan DSCP dalaman ke pengepala paket GRE/IPSEC luaran, yang membolehkan penyegerakan dasar QoS organisasi dan operator telekom (jika terdapat SLA yang sesuai) .

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Bagaimanakah metrik SD-WAN dan DMVPN/PfR hujung ke hujung berbeza?

DMVPN/PfR

  • Kedua-dua penderia perisian aktif dan pasif (Probe) digunakan untuk menilai metrik kesihatan terowong standard. Yang aktif adalah berdasarkan trafik pengguna, yang pasif meniru trafik sedemikian (jika tiada).
  • Tiada penalaan halus pemasa dan keadaan pengesanan degradasi - algoritma telah ditetapkan.
  • Selain itu, pengukuran lebar jalur yang digunakan dalam arah keluar tersedia. Yang menambah fleksibiliti pengurusan trafik tambahan kepada DMVPN/PfR.
  • Pada masa yang sama, beberapa mekanisme PfR, apabila melebihi metrik, bergantung pada isyarat maklum balas dalam bentuk mesej TCA (Threshold Crossing Alert) khas yang mesti datang daripada penerima trafik ke arah sumber, yang seterusnya menganggap bahawa keadaan saluran yang diukur hendaklah sekurang-kurangnya mencukupi untuk penghantaran mesej TCA tersebut. Yang dalam kebanyakan kes tidak menjadi masalah, tetapi jelas tidak dapat dijamin.

SD-WAN

  • Untuk penilaian hujung ke hujung metrik keadaan terowong standard, protokol BFD digunakan dalam mod gema. Dalam kes ini, maklum balas khas dalam bentuk TCA atau mesej serupa tidak diperlukan - pengasingan domain kegagalan dikekalkan. Ia juga tidak memerlukan kehadiran trafik pengguna untuk menilai keadaan terowong.
  • Adalah mungkin untuk memperhalusi pemasa BFD untuk mengawal kelajuan tindak balas dan kepekaan algoritma kepada kemerosotan saluran komunikasi daripada beberapa saat kepada minit.

    Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

  • Pada masa penulisan, hanya terdapat satu sesi BFD dalam setiap terowong. Ini berpotensi menghasilkan kurang butiran dalam analisis keadaan terowong. Pada hakikatnya, ini hanya boleh menjadi had jika anda menggunakan sambungan WAN berdasarkan MPLS L2/L3 VPN dengan QoS SLA yang dipersetujui - jika penandaan DSCP bagi trafik BFD (selepas enkapsulasi dalam IPSec/GRE) sepadan dengan baris gilir keutamaan tinggi dalam rangkaian pengendali telekom, maka ini boleh menjejaskan ketepatan dan kelajuan pengesanan degradasi untuk trafik keutamaan rendah. Pada masa yang sama, adalah mungkin untuk menukar pelabelan BFD lalai untuk mengurangkan risiko situasi sedemikian. Dalam versi perisian Cisco SD-WAN yang akan datang, tetapan BFD yang lebih halus dijangka, serta keupayaan untuk melancarkan berbilang sesi BFD dalam terowong yang sama dengan nilai DSCP individu (untuk aplikasi yang berbeza).
  • BFD juga membolehkan anda menganggarkan saiz paket maksimum yang boleh dihantar melalui terowong tertentu tanpa pemecahan. Ini membolehkan SD-WAN melaraskan parameter secara dinamik seperti MTU dan TCP MSS Adjust untuk memanfaatkan sepenuhnya lebar jalur yang tersedia pada setiap pautan.
  • Dalam SD-WAN, pilihan penyegerakan QoS daripada operator telekom juga tersedia, bukan sahaja berdasarkan medan L3 DSCP, tetapi juga berdasarkan nilai L2 CoS, yang boleh dijana secara automatik dalam rangkaian cawangan oleh peranti khusus - contohnya, IP telefon

Bagaimanakah keupayaan, kaedah mentakrif dan menggunakan dasar AppQ berbeza?

Dasar DMVPN/PfR:

  • Ditakrifkan pada penghala cawangan pusat melalui baris arahan CLI atau templat konfigurasi CLI. Menjana templat CLI memerlukan penyediaan dan pengetahuan tentang sintaks dasar.

    Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

  • Ditakrifkan secara global tanpa kemungkinan konfigurasi individu/perubahan kepada keperluan segmen rangkaian individu.
  • Penjanaan dasar interaktif tidak disediakan dalam antara muka grafik.
  • Menjejaki perubahan, warisan dan mencipta berbilang versi dasar untuk penukaran pantas tidak disediakan.
  • Diedarkan secara automatik kepada penghala cawangan terpencil. Dalam kes ini, saluran komunikasi yang sama digunakan seperti untuk menghantar data pengguna. Jika tiada saluran komunikasi antara cawangan pusat dan jauh, pengagihan/perubahan dasar adalah mustahil.
  • Ia digunakan pada setiap penghala dan, jika perlu, ubah suai hasil protokol penghalaan standard, yang mempunyai keutamaan yang lebih tinggi.
  • Untuk kes di mana semua pautan WAN cawangan mengalami kehilangan trafik yang ketara, tiada mekanisme pampasan disediakan.

Dasar SD-WAN:

  • Ditakrifkan dalam vManage GUI melalui wizard templat interaktif.
  • Menyokong membuat pelbagai dasar, menyalin, mewarisi, bertukar antara dasar dalam masa nyata.
  • Menyokong tetapan dasar individu untuk segmen rangkaian (cawangan) yang berbeza
  • Ia diedarkan menggunakan mana-mana saluran isyarat yang tersedia antara pengawal dan penghala dan/atau vSmart - tidak bergantung secara langsung pada sambungan satah data antara penghala. Ini, sudah tentu, memerlukan sambungan IP antara penghala itu sendiri dan pengawal.

    Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

  • Untuk kes apabila semua cawangan yang tersedia bagi cawangan mengalami kehilangan data yang ketara melebihi ambang yang boleh diterima untuk aplikasi kritikal, adalah mungkin untuk menggunakan mekanisme tambahan yang meningkatkan kebolehpercayaan penghantaran:
    • FEC (Pembetulan Ralat Hadapan) – menggunakan algoritma pengekodan berlebihan khas. Apabila menghantar trafik kritikal melalui saluran dengan peratusan kerugian yang ketara, FEC boleh diaktifkan secara automatik dan membenarkan, jika perlu, memulihkan bahagian data yang hilang. Ini sedikit meningkatkan lebar jalur penghantaran yang digunakan, tetapi meningkatkan kebolehpercayaan dengan ketara.

      Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

    • Penduaan aliran data – Sebagai tambahan kepada FEC, dasar ini boleh menyediakan pendua trafik automatik bagi aplikasi terpilih sekiranya berlaku tahap kerugian yang lebih serius yang tidak dapat dibayar pampasan oleh FEC. Dalam kes ini, data yang dipilih akan dihantar melalui semua terowong ke arah cawangan penerima dengan penyahduaan berikutnya (menggugurkan salinan tambahan paket). Mekanisme ini meningkatkan penggunaan saluran dengan ketara, tetapi juga meningkatkan kebolehpercayaan penghantaran dengan ketara.

Keupayaan Cisco SD-WAN, tanpa analog langsung dalam DMVPN/PfR

Seni bina penyelesaian Cisco SD-WAN dalam beberapa kes membolehkan anda memperoleh keupayaan yang sama ada amat sukar untuk dilaksanakan dalam DMVPN/PfR, atau tidak praktikal kerana kos buruh yang diperlukan, atau mustahil sepenuhnya. Mari lihat yang paling menarik daripada mereka:

Kejuruteraan Trafik (TE)

TE termasuk mekanisme yang membenarkan trafik bercabang dari laluan standard yang dibentuk oleh protokol penghalaan. TE sering digunakan untuk memastikan ketersediaan perkhidmatan rangkaian yang tinggi, melalui keupayaan untuk memindahkan trafik kritikal dengan cepat dan/atau proaktif ke laluan penghantaran alternatif (berpisah), untuk memastikan kualiti perkhidmatan yang lebih baik atau kelajuan pemulihan sekiranya berlaku kegagalan di laluan utama.

Kesukaran dalam melaksanakan TE terletak pada keperluan untuk mengira dan menempah (menyemak) laluan alternatif terlebih dahulu. Dalam rangkaian MPLS operator telekom, masalah ini diselesaikan menggunakan teknologi seperti Kejuruteraan Trafik MPLS dengan sambungan protokol IGP dan protokol RSVP. Baru-baru ini juga, teknologi Penghalaan Segmen, yang lebih dioptimumkan untuk konfigurasi terpusat dan orkestrasi, telah menjadi semakin popular. Dalam rangkaian WAN klasik, teknologi ini biasanya tidak diwakili atau dikurangkan kepada penggunaan mekanisme lompat-demi-hop seperti Penghalaan Berasaskan Dasar (PBR), yang mampu mencabangkan trafik, tetapi melaksanakannya pada setiap penghala secara berasingan - tanpa mengambil mengambil kira keadaan keseluruhan rangkaian atau keputusan PBR dalam langkah sebelumnya atau seterusnya. Hasil daripada menggunakan pilihan TE ini mengecewakan - MPLS TE, kerana kerumitan konfigurasi dan operasi, digunakan, sebagai peraturan, hanya di bahagian paling kritikal rangkaian (teras), dan PBR digunakan pada penghala individu tanpa keupayaan untuk mencipta dasar PBR bersatu untuk keseluruhan rangkaian. Jelas sekali, ini juga terpakai pada rangkaian berasaskan DMVPN.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

SD-WAN dalam hal ini menawarkan penyelesaian yang lebih elegan yang bukan sahaja mudah untuk dikonfigurasikan, tetapi juga skala yang lebih baik. Ini adalah hasil daripada seni bina satah kawalan dan satah dasar yang digunakan. Melaksanakan satah dasar dalam SD-WAN membolehkan anda menentukan dasar TE secara berpusat - apakah trafik yang diminati? untuk VPN yang mana? Melalui nod/terowong yang manakah perlu atau, sebaliknya, dilarang untuk membentuk laluan alternatif? Sebaliknya, pemusatan pengurusan satah kawalan berdasarkan pengawal vSmart membolehkan anda mengubah suai hasil penghalaan tanpa menggunakan tetapan peranti individu - penghala sudah melihat hanya hasil logik yang dijana dalam antara muka vManage dan dipindahkan untuk digunakan ke vSmart.

rantaian perkhidmatan

Membentuk rantai perkhidmatan adalah tugas yang lebih intensif buruh dalam penghalaan klasik daripada mekanisme Kejuruteraan Trafik yang telah diterangkan. Malah, dalam kes ini, perlu bukan sahaja untuk mencipta laluan khas untuk aplikasi rangkaian tertentu, tetapi juga untuk memastikan keupayaan untuk mengalih keluar trafik dari rangkaian pada nod tertentu (atau semua) rangkaian SD-WAN untuk pemprosesan oleh aplikasi atau perkhidmatan khas (Firewall, Pengimbangan, Caching, Trafik Pemeriksaan, dsb.). Pada masa yang sama, adalah perlu untuk dapat mengawal keadaan perkhidmatan luaran ini untuk mengelakkan situasi lubang hitam, dan mekanisme juga diperlukan yang membolehkan perkhidmatan luaran jenis yang sama diletakkan di lokasi geo yang berbeza. dengan keupayaan rangkaian untuk memilih nod perkhidmatan yang paling optimum secara automatik untuk memproses trafik cawangan tertentu. Dalam kes Cisco SD-WAN, ini agak mudah dicapai dengan mewujudkan dasar terpusat yang sesuai yang "melekatkan" semua aspek rantai perkhidmatan sasaran menjadi satu keseluruhan dan secara automatik menukar satah data dan logik satah kawalan hanya di mana dan apabila perlu.

Adakah Cisco SD-WAN akan memotong cawangan di mana DMVPN berada?

Keupayaan untuk mencipta pemprosesan trafik teragih geo bagi jenis aplikasi terpilih dalam urutan tertentu pada peralatan khusus (tetapi tidak berkaitan dengan rangkaian SD-WAN itu sendiri) mungkin merupakan demonstrasi paling jelas tentang kelebihan Cisco SD-WAN berbanding klasik. teknologi dan juga beberapa penyelesaian SD alternatif -WAN daripada pengeluar lain.

Hasilnya?

Jelas sekali, kedua-dua DMVPN (dengan atau tanpa Penghalaan Prestasi) dan Cisco SD-WAN akhirnya menyelesaikan masalah yang hampir sama berhubung dengan rangkaian WAN yang diedarkan organisasi. Pada masa yang sama, perbezaan seni bina dan fungsi yang ketara dalam teknologi Cisco SD-WAN membawa kepada proses menyelesaikan masalah ini ke tahap kualiti yang lain. Untuk meringkaskan, kita boleh perhatikan perbezaan ketara berikut antara teknologi SD-WAN dan DMVPN/PfR:

  • DMVPN/PfR secara amnya menggunakan teknologi yang diuji masa untuk membina rangkaian VPN tindanan dan, dari segi satah data, adalah serupa dengan teknologi SD-WAN yang lebih moden, namun, terdapat beberapa batasan dalam bentuk konfigurasi statik wajib. penghala dan pilihan topologi adalah terhad kepada Hub-n-Spoke. Sebaliknya, DMVPN/PfR mempunyai beberapa fungsi yang belum tersedia dalam SD-WAN (kita bercakap tentang BFD setiap aplikasi).
  • Dalam satah kawalan, teknologi berbeza secara asas. Dengan mengambil kira pemprosesan terpusat protokol isyarat, SD-WAN membenarkan, khususnya, untuk mengecilkan domain kegagalan dengan ketara dan "meninggalkan" proses penghantaran trafik pengguna daripada interaksi isyarat - ketiadaan sementara pengawal tidak menjejaskan keupayaan untuk menghantar trafik pengguna . Pada masa yang sama, ketiadaan sementara mana-mana cawangan (termasuk yang pusat) tidak sama sekali menjejaskan keupayaan cawangan lain untuk berinteraksi antara satu sama lain dan pengawal.
  • Seni bina untuk pembentukan dan penerapan dasar pengurusan trafik dalam kes SD-WAN juga lebih baik daripada dalam DMVPN/PfR - geo-tempahan dilaksanakan dengan lebih baik, tiada sambungan ke Hab, terdapat lebih banyak peluang untuk denda -menyelaraskan dasar, senarai senario pengurusan trafik yang dilaksanakan juga lebih besar.
  • Proses orkestrasi penyelesaian juga berbeza dengan ketara. DMVPN menganggap kehadiran parameter yang diketahui sebelum ini yang entah bagaimana mesti dicerminkan dalam konfigurasi, yang agak mengehadkan fleksibiliti penyelesaian dan kemungkinan perubahan dinamik. Sebaliknya, SD-WAN adalah berdasarkan paradigma bahawa pada saat permulaan sambungan, penghala "tidak tahu apa-apa" tentang pengawalnya, tetapi tahu "siapa yang anda boleh tanya" - ini cukup bukan sahaja untuk mewujudkan komunikasi secara automatik dengan pengawal, tetapi juga untuk secara automatik membentuk topologi satah data yang disambungkan sepenuhnya, yang kemudiannya boleh dikonfigurasikan/diubah secara fleksibel menggunakan dasar.
  • Dari segi pengurusan berpusat, automasi dan pemantauan, SD-WAN dijangka mengatasi keupayaan DMVPN/PfR, yang telah berkembang daripada teknologi klasik dan lebih bergantung pada baris arahan CLI dan penggunaan sistem NMS berasaskan templat.
  • Dalam SD-WAN, berbanding DMVPN, keperluan keselamatan telah mencapai tahap kualitatif yang berbeza. Prinsip utama ialah kepercayaan sifar, kebolehskalaan dan pengesahan dua faktor.

Kesimpulan mudah ini mungkin memberikan tanggapan yang salah bahawa mencipta rangkaian berdasarkan DMVPN/PfR telah kehilangan semua kaitan hari ini. Ini sudah tentu tidak sepenuhnya benar. Sebagai contoh, dalam kes di mana rangkaian menggunakan banyak peralatan lapuk dan tiada cara untuk menggantikannya, DMVPN boleh membenarkan anda menggabungkan peranti "lama" dan "baharu" ke dalam rangkaian teragihan geo tunggal dengan banyak kelebihan yang diterangkan. atas.

Sebaliknya, perlu diingat bahawa semua penghala korporat Cisco semasa berdasarkan IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) hari ini menyokong mana-mana mod operasi - kedua-dua penghalaan klasik dan DMVPN dan SD-WAN - pilihan ditentukan oleh keperluan semasa dan pemahaman bahawa pada bila-bila masa, menggunakan peralatan yang sama, anda boleh mula bergerak ke arah teknologi yang lebih maju.

Sumber: www.habr.com

Tambah komen