🥇Czy Cisco odetnie gałąź SD-WAN, na której znajduje się DMVPN?

Od sierpnia 2017 r., kiedy Cisco przejęło Viptela, stała się główną technologią oferowaną do organizacji rozproszonych sieci korporacyjnych Cisco SD-WAN. Na przestrzeni ostatnich 3 lat technologia SD-WAN przeszła wiele zmian, zarówno jakościowych, jak i ilościowych. W ten sposób funkcjonalność znacznie się rozszerzyła i pojawiła się obsługa klasycznych routerów z tej serii Cisco ISR 1000, ISR 4000, ASR 1000 i wirtualny CSR 1000v. Jednocześnie wielu klientów i partnerów Cisco w dalszym ciągu zadaje sobie pytanie: jakie są różnice pomiędzy Cisco SD-WAN a znanymi już podejściami opartymi na technologiach takich jak Cisco DMVPN и Routing wydajności Cisco i jak istotne są te różnice?

W tym miejscu należy od razu zastrzec, że przed pojawieniem się SD-WAN w portfolio Cisco, DMVPN wraz z PfR stanowił kluczową część architektury Cisco IWAN (inteligentna sieć WAN), który z kolei był poprzednikiem pełnoprawnej technologii SD-WAN. Pomimo ogólnego podobieństwa zarówno rozwiązywanych zadań, jak i metod ich rozwiązywania, IWAN nigdy nie uzyskał poziomu automatyzacji, elastyczności i skalowalności niezbędnego dla SD-WAN, a z biegiem czasu rozwój IWAN znacznie się zmniejszył. Jednocześnie technologie tworzące IWAN nie odeszły w niepamięć, a wielu klientów nadal z powodzeniem je wykorzystuje, także na nowoczesnym sprzęcie. W rezultacie powstała ciekawa sytuacja – ten sam sprzęt Cisco pozwala wybrać najodpowiedniejszą technologię WAN (klasyczną, DMVPN+PfR lub SD-WAN) zgodnie z wymaganiami i oczekiwaniami klientów.

Celem artykułu nie jest szczegółowe analizowanie wszystkich cech technologii Cisco SD-WAN i DMVPN (z routingiem wydajnościowym lub bez) - istnieje na ten temat ogromna ilość dostępnych dokumentów i materiałów. Głównym zadaniem jest próba oceny kluczowych różnic pomiędzy tymi technologiami. Zanim jednak przejdziemy do omówienia tych różnic, przypomnijmy pokrótce same technologie.

Co to jest Cisco DMVPN i dlaczego jest potrzebny?

Cisco DMVPN rozwiązuje problem dynamicznego (= skalowalnego) połączenia odległej sieci oddziałowej z siecią centrali przedsiębiorstwa przy wykorzystaniu dowolnych typów kanałów komunikacyjnych, w tym Internetu (= z szyfrowaniem kanału komunikacyjnego). Technicznie jest to realizowane poprzez utworzenie zwirtualizowanej sieci nakładkowej klasy L3 VPN w trybie punkt-wielopunkt z topologią logiczną typu „Gwiazda” (Hub-n-Spoke). Aby to osiągnąć, DMVPN wykorzystuje kombinację następujących technologii:

Routing IP
Wielopunktowe tunele GRE (mGRE)
Protokół rozdzielczości następnego przeskoku (NHRP)
Profile IPSec Crypto

Jakie są główne zalety Cisco DMVPN w porównaniu z klasycznym routingiem wykorzystującym kanały MPLS VPN?

Do stworzenia sieci międzybranżowej można wykorzystać dowolne kanały komunikacji - odpowiednie będzie wszystko, co zapewni łączność IP pomiędzy oddziałami, a ruch będzie szyfrowany (tam gdzie to konieczne) i zrównoważony (tam gdzie to możliwe)
Automatycznie tworzona jest w pełni połączona topologia pomiędzy gałęziami. Jednocześnie istnieją tunele statyczne pomiędzy oddziałami centralnymi i zdalnymi oraz tunele dynamiczne na żądanie pomiędzy oddziałami zdalnymi (jeśli jest ruch)
Routery oddziału centralnego i zdalnego mają tę samą konfigurację aż do adresów IP interfejsów. Dzięki mGRE nie ma potrzeby indywidualnego konfigurowania dziesiątek, setek, a nawet tysięcy tuneli. Efektem jest przyzwoita skalowalność przy odpowiednim projekcie.

Co to jest Cisco Performance Routing i dlaczego jest potrzebny?

W przypadku korzystania z DMVPN w sieci międzybranżowej nierozwiązanym pozostaje jedno niezwykle istotne pytanie – jak dynamicznie ocenić stan każdego z tuneli DMVPN pod kątem zgodności z wymaganiami ruchu krytycznego dla naszej organizacji i ponownie na podstawie takiej oceny dynamicznie dokonać decyzja o zmianie trasy? Faktem jest, że DMVPN w tej części niewiele różni się od klasycznego routingu - najlepsze, co można zrobić, to skonfigurować mechanizmy QoS, które pozwolą na priorytetyzację ruchu w kierunku wychodzącym, ale w żaden sposób nie są w stanie uwzględnić stanu całą ścieżkę w tym czy innym momencie.

A co zrobić, jeśli kanał ulegnie częściowej, a nie całkowitej degradacji – jak to wykryć i ocenić? Sam DMVPN nie może tego zrobić. Biorąc pod uwagę, że kanały łączące oddziały mogą przechodzić przez zupełnie różnych operatorów telekomunikacyjnych, wykorzystujących zupełnie inne technologie, zadanie to staje się niezwykle nietrywialne. I tu z pomocą przychodzi technologia Cisco Performance Routing, która do tego czasu przeszła już kilka etapów rozwoju.

Zadanie Cisco Performance Routing (dalej PfR) sprowadza się do pomiaru stanu ścieżek (tuneli) ruchu w oparciu o kluczowe metryki ważne dla aplikacji sieciowych - opóźnienie, zmienność opóźnienia (jitter) i utrata pakietów (procent). Dodatkowo można zmierzyć wykorzystaną przepustowość. Pomiary te odbywają się w czasie jak najbardziej zbliżonym do rzeczywistego i uzasadnionego, a wynik tych pomiarów pozwala routerowi korzystającemu z PfR na dynamiczne podejmowanie decyzji o konieczności zmiany routingu tego czy innego rodzaju ruchu.

Zatem zadanie kombinacji DMVPN/PfR można krótko opisać w następujący sposób:

Pozwól klientowi na korzystanie z dowolnych kanałów komunikacji w sieci WAN
Zapewnij najwyższą możliwą jakość krytycznych aplikacji w tych kanałach

Co to jest Cisco SD-WAN?

Cisco SD-WAN to technologia wykorzystująca podejście SDN do tworzenia i obsługi sieci WAN organizacji. Oznacza to w szczególności wykorzystanie tzw. kontrolerów (elementów oprogramowania), które zapewniają scentralizowaną orkiestrację i automatyczną konfigurację wszystkich komponentów rozwiązania. W przeciwieństwie do kanonicznego SDN (styl Clean Slate), Cisco SD-WAN wykorzystuje kilka typów kontrolerów, z których każdy pełni swoją rolę – zrobiono to celowo, aby zapewnić lepszą skalowalność i geograficzną redundancję.

W przypadku SD-WAN zadanie wykorzystania dowolnych kanałów i zapewnienie działania aplikacji biznesowych pozostaje takie samo, ale jednocześnie rosną wymagania w zakresie automatyzacji, skalowalności, bezpieczeństwa i elastyczności takiej sieci.

Dyskusja na temat różnic

Jeśli teraz zaczniemy analizować różnice między tymi technologiami, będą one należeć do jednej z następujących kategorii:

Różnice architektoniczne – jak rozłożone są funkcje pomiędzy różnymi komponentami rozwiązania, jak zorganizowana jest interakcja takich komponentów i jak wpływa to na możliwości i elastyczność technologii?
Funkcjonalność – co może zrobić jedna technologia, czego nie może inna? I czy to naprawdę jest takie ważne?

Jakie są różnice architektoniczne i czy są istotne?

Każda z tych technologii ma wiele „ruchomych części”, które różnią się nie tylko rolą, ale także sposobem, w jaki współdziałają ze sobą. To, jak dobrze te zasady są przemyślane, a ogólna mechanika rozwiązania bezpośrednio determinuje jego skalowalność, odporność na błędy i ogólną wydajność.

Przyjrzyjmy się różnym aspektom architektury bardziej szczegółowo:

Płaszczyzna danych – część rozwiązania odpowiedzialna za transmisję ruchu użytkowników pomiędzy źródłem a odbiorcą. DMVPN i SD-WAN są implementowane generalnie identycznie na samych routerach w oparciu o tunele Multipoint GRE. Różnica polega na tym, jak tworzony jest niezbędny zestaw parametrów dla tych tuneli:

в DMVPN/PfR to wyłącznie dwupoziomowa hierarchia węzłów o topologii gwiazdy lub Hub-n-Spoke. Wymagana jest statyczna konfiguracja koncentratora i statyczne powiązanie Spoke z koncentratorem, a także interakcja za pośrednictwem protokołu NHRP w celu utworzenia łączności płaszczyzny danych. W konsekwencji, co znacznie utrudnia zmiany w Hubiezwiązane np. ze zmianą/podłączeniem nowych kanałów WAN lub zmianą parametrów istniejących.
в SD WAN to w pełni dynamiczny model wykrywania parametrów zainstalowanych tuneli oparty na płaszczyźnie kontrolnej (protokół OMP) i płaszczyźnie orkiestracyjnej (interakcja z kontrolerem vBond w celu wykrywania kontrolerów i zadań przechodzenia NAT). Można w tym przypadku zastosować dowolne topologie nałożone, także hierarchiczne. W ramach ustalonej topologii tunelu nakładkowego możliwa jest elastyczna konfiguracja topologii logicznej w każdej indywidualnej sieci VPN (VRF).

Sterowanie samolotem – funkcje wymiany, filtrowania i modyfikacji routingu oraz innych informacji pomiędzy komponentami rozwiązania.

в DMVPN/PfR – realizowane wyłącznie pomiędzy routerami Hub i Spoke. Bezpośrednia wymiana informacji o routingu pomiędzy Spokes nie jest możliwa. W konsekwencji, Bez funkcjonującego koncentratora płaszczyzna kontroli i płaszczyzna danych nie mogą funkcjonować, co nakłada na Hub dodatkowe wymagania dotyczące wysokiej dostępności, które nie zawsze mogą być spełnione.
в SD WAN – płaszczyzna kontroli nigdy nie odbywa się bezpośrednio pomiędzy routerami – interakcja odbywa się w oparciu o protokół OMP i koniecznie odbywa się poprzez odrębny, specjalizowany typ kontrolera vSmart, który zapewnia możliwość równoważenia, georezerwacji i scentralizowanego sterowania obciążenie sygnału. Kolejną cechą protokołu OMP jest jego znaczna odporność na straty i niezależność od prędkości kanału komunikacyjnego ze sterownikami (oczywiście w rozsądnych granicach). Co równie skutecznie pozwala na umieszczenie kontrolerów SD-WAN w chmurach publicznych lub prywatnych z dostępem przez Internet.

Płaszczyzna polityczna – część rozwiązania odpowiedzialna za definiowanie, dystrybucję i stosowanie polityk zarządzania ruchem w sieci rozproszonej.

DMVPN – jest skutecznie ograniczany przez zasady jakości usług (QoS) konfigurowane indywidualnie na każdym routerze za pomocą szablonów CLI lub Prime Infrastructure.
DMVPN/PfR – Zasady PfR są tworzone na scentralizowanym routerze Master Controller (MC) za pośrednictwem interfejsu CLI, a następnie automatycznie dystrybuowane do oddziałów MC. W tym przypadku używane są te same ścieżki transferu zasad, co w przypadku płaszczyzny danych. Nie ma możliwości rozdzielenia wymiany polityk, informacji o routingu i danych użytkowników. Propagacja polityki wymaga obecności połączenia IP pomiędzy Hubem a Spoke. W takim przypadku funkcję MC można w razie potrzeby połączyć z routerem DMVPN. Możliwe (ale nie wymagane) jest użycie szablonów Prime Infrastructure do scentralizowanego generowania polityk. Ważną cechą jest to, że polityka jest tworzona globalnie w całej sieci w ten sam sposób - Indywidualne zasady dla poszczególnych segmentów nie są obsługiwane.
SD WAN – zarządzanie ruchem i polityka jakości usług ustalane są centralnie poprzez interfejs graficzny Cisco vManage, dostępny także przez Internet (w razie potrzeby). Dystrybuowane są kanałami sygnalizacyjnymi bezpośrednio lub pośrednio poprzez kontrolery vSmart (w zależności od rodzaju polisy). Nie zależą one od łączności płaszczyzny danych między routerami, ponieważ wykorzystaj wszystkie dostępne ścieżki ruchu pomiędzy kontrolerem a routerem.
Dla różnych segmentów sieci istnieje możliwość elastycznego formułowania różnych polityk – zakres polityki wyznaczany jest poprzez wiele unikalnych identyfikatorów dostarczanych w rozwiązaniu – numer oddziału, typ aplikacji, kierunek ruchu itp.

Płaszczyzna orkiestracyjna – mechanizmy, które pozwalają komponentom dynamicznie się wykrywać, konfigurować i koordynować kolejne interakcje.

в DMVPN/PfR Wzajemne wykrywanie pomiędzy routerami opiera się na statycznej konfiguracji urządzeń Hub i odpowiedniej konfiguracji urządzeń Spoke. Dynamiczne wykrywanie odbywa się tylko w przypadku Spoke, które raportuje parametry połączenia Hub do urządzenia, które z kolei jest wstępnie skonfigurowane za pomocą Spoke. Bez łączności IP pomiędzy Spoke i co najmniej jednym Hubem niemożliwe jest utworzenie ani płaszczyzny danych, ani płaszczyzny kontrolnej.
в SD WAN orkiestracja komponentów rozwiązania odbywa się za pomocą kontrolera vBond, z którym każdy komponent (routery i kontrolery vManage/vSmart) musi najpierw nawiązać łączność IP.
Początkowo komponenty nie znają się nawzajem na temat parametrów połączenia - do tego potrzebny jest pośredniczący orkiestrator vBond. Ogólna zasada jest następująca - każdy komponent w początkowej fazie uczy się (automatycznie lub statycznie) tylko parametrów połączenia z vBond, następnie vBond informuje router o odkrytych wcześniej kontrolerach vManage i vSmart, co pozwala na automatyczne nawiązanie wszystkie niezbędne przyłącza sygnalizacyjne.

Następnym krokiem jest zapoznanie się nowego routera z innymi routerami w sieci poprzez komunikację OMP z kontrolerem vSmart. W ten sposób router, nie wiedząc początkowo nic o parametrach sieci, jest w stanie w pełni automatycznie wykryć i połączyć się z kontrolerami, a następnie automatycznie wykryć i nawiązać połączenie z innymi routerami. W takim przypadku parametry połączenia wszystkich komponentów są początkowo nieznane i mogą ulec zmianie w trakcie pracy.

Płaszczyzna zarządzania – część rozwiązania zapewniającego scentralizowane zarządzanie i monitorowanie.

DMVPN/PfR – nie zapewnia się specjalistycznego rozwiązania płaszczyzny zarządzania. Do podstawowej automatyzacji i monitorowania można zastosować produkty takie jak Cisco Prime Infrastructure. Każdym routerem można sterować za pomocą wiersza poleceń CLI. Nie zapewnia się integracji z systemami zewnętrznymi poprzez API.
SD WAN – cała regularna interakcja i monitorowanie odbywa się centralnie poprzez interfejs graficzny kontrolera vManage. Wszystkie funkcje rozwiązania, bez wyjątku, są dostępne do konfiguracji poprzez vManage, a także poprzez w pełni udokumentowaną bibliotekę REST API.
Wszystkie ustawienia sieci SD-WAN w vManage sprowadzają się do dwóch głównych konstrukcji - tworzenia szablonów urządzeń (Device Template) oraz tworzenia polityki określającej logikę działania sieci i przetwarzania ruchu. Jednocześnie vManage rozgłaszając wygenerowaną przez administratora politykę, automatycznie wybiera, jakie zmiany i na jakich poszczególnych urządzeniach/kontrolerach należy wprowadzić, co znacząco zwiększa wydajność i skalowalność rozwiązania.

Poprzez interfejs vManage dostępna jest nie tylko konfiguracja rozwiązania Cisco SD-WAN, ale także pełny monitoring stanu wszystkich komponentów rozwiązania aż do aktualnego stanu metryk dla poszczególnych tuneli oraz statystyk wykorzystania różnych aplikacji na podstawie analizy DPI.

Pomimo centralizacji interakcji wszystkie komponenty (kontrolery i routery) posiadają także w pełni funkcjonalną linię poleceń CLI, która jest niezbędna na etapie wdrożenia lub w przypadku awarii w celu lokalnej diagnostyki. W trybie normalnym (jeśli między komponentami istnieje kanał sygnalizacyjny) na routerach linia poleceń dostępna jest tylko w celach diagnostycznych i nie jest dostępna do wprowadzania lokalnych zmian, co gwarantuje lokalne bezpieczeństwo, a jedynym źródłem zmian w takiej sieci jest vManage.

Zintegrowane bezpieczeństwo – tutaj powinniśmy mówić nie tylko o ochronie danych użytkowników przesyłanych kanałami otwartymi, ale także o ogólnym bezpieczeństwie sieci WAN opartej na wybranej technologii.

в DMVPN/PfR Istnieje możliwość szyfrowania danych użytkownika i protokołów sygnalizacyjnych. W przypadku niektórych modeli routerów dostępne są dodatkowo funkcje zapory sieciowej z inspekcją ruchu oraz IPS/IDS. Istnieje możliwość segmentacji sieci oddziałowych przy wykorzystaniu technologii VRF. Możliwe jest uwierzytelnianie (jednoczynnikowych) protokołów kontroli.
W takim przypadku zdalny router jest domyślnie uważany za zaufany element sieci – tj. nie zakłada się i nie bierze pod uwagę przypadków fizycznego naruszenia bezpieczeństwa poszczególnych urządzeń i możliwości nieuprawnionego dostępu do nich, nie stosuje się dwuczynnikowego uwierzytelniania komponentów rozwiązania, które w przypadku sieci rozproszonej geograficznie może wiązać się ze znacznym dodatkowym ryzykiem.
в SD WAN analogicznie do DMVPN zapewniona jest możliwość szyfrowania danych użytkownika, ale ze znacznie rozszerzonym bezpieczeństwem sieci i funkcjami segmentacji L3/VRF (firewall, IPS/IDS, filtrowanie URL, filtrowanie DNS, AMP/TG, SASE, TLS/SSL proxy, itp.) d.). Jednocześnie wymiana kluczy szyfrujących odbywa się sprawniej poprzez kontrolery vSmart (a nie bezpośrednio), poprzez ustalone kanały sygnalizacyjne chronione szyfrowaniem DTLS/TLS w oparciu o certyfikaty bezpieczeństwa. Co z kolei gwarantuje bezpieczeństwo takich wymian i zapewnia lepszą skalowalność rozwiązania do kilkudziesięciu tysięcy urządzeń w tej samej sieci.
Wszystkie połączenia sygnalizacyjne (kontroler-kontroler, kontroler-router) są również chronione w oparciu o DTLS/TLS. Routery na etapie produkcji posiadają certyfikaty bezpieczeństwa z możliwością wymiany/rozbudowy. Uwierzytelnianie dwuskładnikowe realizowane jest poprzez obowiązkowe i jednoczesne spełnienie dwóch warunków, aby router/kontroler mógł działać w sieci SD-WAN:
- Ważny certyfikat bezpieczeństwa
- Wyraźne i świadome umieszczenie przez administratora każdego komponentu na „białej” liście dozwolonych urządzeń.

Różnice funkcjonalne pomiędzy SD-WAN i DMVPN/PfR

Przechodząc do omówienia różnic funkcjonalnych należy zaznaczyć, że wiele z nich jest kontynuacją architektonicznych – nie jest tajemnicą, że tworząc architekturę rozwiązania programiści zaczynają od możliwości, które ostatecznie chcą uzyskać. Przyjrzyjmy się najważniejszym różnicom pomiędzy obiema technologiami.

AppQ (Application Quality) – funkcje zapewniające jakość transmisji ruchu aplikacji biznesowych

Kluczowe funkcje rozważanych technologii mają na celu jak największą poprawę komfortu użytkownika podczas korzystania z aplikacji o znaczeniu krytycznym dla biznesu w sieci rozproszonej. Jest to szczególnie ważne w warunkach, gdzie część infrastruktury nie jest kontrolowana przez IT lub nawet nie gwarantuje pomyślnego przesyłania danych.

DMVPN sam nie zapewnia takich mechanizmów. Najlepsze, co można zrobić w klasycznej sieci DMVPN, to klasyfikować ruch wychodzący według aplikacji i nadawać mu priorytet podczas przesyłania do kanału WAN. O wyborze tunelu DMVPN decyduje w tym przypadku jedynie jego dostępność i wynik działania protokołów routingu. Jednocześnie stan ścieżki/tunelu od końca do końca i jego możliwa częściowa degradacja nie są brane pod uwagę w kontekście kluczowych wskaźników istotnych dla zastosowań sieciowych – opóźnienia, zmienności opóźnienia (jitter) i strat (% ). W związku z tym bezpośrednie porównanie klasycznego DMVPN z SD-WAN pod kątem rozwiązywania problemów z AppQ traci wszelkie znaczenie - DMVPN nie jest w stanie rozwiązać tego problemu. Po dodaniu w tym kontekście technologii Cisco Performance Routing (PfR) sytuacja się zmienia, a porównanie z Cisco SD-WAN staje się bardziej znaczące.

Zanim omówimy różnice, przyjrzyjmy się szybko, jak te technologie są podobne. Zatem obie technologie:

posiadają mechanizm pozwalający na dynamiczną ocenę stanu każdego ustanowionego tunelu pod kątem określonych metryk - co najmniej opóźnienia, zmienności opóźnienia i utraty pakietów (%)
używać określonego zestawu narzędzi do tworzenia, rozpowszechniania i stosowania zasad (polityki) zarządzania ruchem, biorąc pod uwagę wyniki pomiaru stanu kluczowych wskaźników tunelu.
klasyfikować ruch aplikacji na poziomach L3-L4 (DSCP) modelu OSI lub według sygnatur aplikacji L7 w oparciu o mechanizmy DPI wbudowane w router
W przypadku znaczących zastosowań umożliwiają określenie akceptowalnych wartości progowych metryk, domyślnych reguł przesyłania ruchu oraz reguł przekierowywania ruchu w przypadku przekroczenia wartości progowych.
Przy enkapsulacji ruchu w GRE/IPSec wykorzystują już ustalony branżowy mechanizm przesyłania wewnętrznych oznaczeń DSCP na zewnętrzny nagłówek pakietu GRE/IPSEC, co pozwala na synchronizację polityk QoS organizacji i operatora telekomunikacyjnego (jeśli istnieje odpowiednia umowa SLA) .

Czym różnią się kompleksowe wskaźniki SD-WAN i DMVPN/PfR?

DMVPN/PfR

Do oceny standardowych wskaźników stanu tunelu wykorzystywane są zarówno aktywne, jak i pasywne czujniki programowe (sondy). Aktywne opierają się na ruchu użytkowników, pasywne emulują taki ruch (w przypadku jego braku).
Nie ma możliwości dostrajania timerów i warunków wykrywania degradacji – algorytm jest stały.
Dodatkowo dostępny jest pomiar wykorzystanej przepustowości w kierunku wychodzącym. Co dodaje dodatkową elastyczność zarządzania ruchem do DMVPN/PfR.
Jednocześnie niektóre mechanizmy PfR w przypadku przekroczenia metryk opierają się na sygnalizacji zwrotnej w postaci specjalnych komunikatów TCA (Threshold Crossing Alert), które muszą pochodzić od odbiorcy ruchu w stronę źródła, co z kolei zakłada, że stan zmierzone kanały powinny być co najmniej wystarczające do transmisji takich komunikatów TCA. Co w większości przypadków nie stanowi problemu, ale oczywiście nie można tego zagwarantować.

SD WAN

Do kompleksowej oceny standardowych metryk stanu tunelu protokół BFD jest używany w trybie echa. W takim przypadku nie jest wymagana specjalna informacja zwrotna w postaci TCA lub podobnych komunikatów – zachowana jest izolacja domen awarii. Nie wymaga również obecności ruchu użytkowników do oceny stanu tunelu.
Możliwe jest dostrojenie timerów BFD w celu regulacji szybkości reakcji i czułości algorytmu na degradację kanału komunikacyjnego od kilku sekund do minut.
W momencie pisania tego tekstu w każdym tunelu jest tylko jedna sesja BFD. To potencjalnie powoduje mniejszą szczegółowość analizy stanu tunelu. W rzeczywistości może to stać się ograniczeniem tylko w przypadku korzystania z połączenia WAN opartego na MPLS L2/L3 VPN z uzgodnioną umową QoS SLA - jeśli oznaczenie DSCP ruchu BFD (po enkapsulacji w IPSec/GRE) odpowiada kolejce o wysokim priorytecie w sieci operatora telekomunikacyjnego, może to mieć wpływ na dokładność i szybkość wykrywania degradacji ruchu o niskim priorytecie. Jednocześnie istnieje możliwość zmiany domyślnego oznakowania BFD, aby zmniejszyć ryzyko wystąpienia takich sytuacji. W przyszłych wersjach oprogramowania Cisco SD-WAN oczekiwane są bardziej dostrojone ustawienia BFD, a także możliwość uruchamiania wielu sesji BFD w tym samym tunelu z indywidualnymi wartościami DSCP (dla różnych aplikacji).
BFD dodatkowo pozwala oszacować maksymalny rozmiar pakietu, jaki może zostać przesłany danym tunelem bez fragmentacji. Dzięki temu SD-WAN może dynamicznie dostosowywać parametry, takie jak MTU i TCP MSS, aby w pełni wykorzystać dostępną przepustowość każdego łącza.
W SD-WAN dostępna jest również opcja synchronizacji QoS od operatorów telekomunikacyjnych, nie tylko w oparciu o pola L3 DSCP, ale także w oparciu o wartości L2 CoS, które mogą być automatycznie generowane w sieci oddziałowej przez specjalizowane urządzenia – np. IP telefony

Czym różnią się możliwości, metody definiowania i stosowania polityk AppQ?

Zasady DMVPN/PfR:

Zdefiniowane na routerach w oddziale centralnym za pomocą wiersza poleceń CLI lub szablonów konfiguracji CLI. Generowanie szablonów CLI wymaga przygotowania i znajomości składni polityk.
Zdefiniowane globalnie bez możliwości indywidualnej konfiguracji/zmiany pod wymagania poszczególnych segmentów sieci.
Interfejs graficzny nie zapewnia interaktywnego generowania polityk.
Śledzenie zmian, dziedziczenie i tworzenie wielu wersji zasad w celu szybkiego przełączania nie są dostępne.
Dystrybuowane automatycznie do routerów w odległych oddziałach. W tym przypadku wykorzystywane są te same kanały komunikacji, jakie wykorzystywane są do przesyłania danych użytkownika. W przypadku braku kanału komunikacji pomiędzy oddziałem centralnym a oddziałem zdalnym dystrybucja/zmiana polis jest niemożliwa.
Są one stosowane na każdym routerze i w razie potrzeby modyfikują wynik standardowych protokołów routingu, mając wyższy priorytet.
W przypadkach, gdy wszystkie łącza WAN oddziałów doświadczają znacznej utraty ruchu, nie przewidziano mechanizmów kompensacyjnych.

Zasady SD-WAN:

Zdefiniowane w interfejsie graficznym vManage za pomocą interaktywnego kreatora szablonów.
Obsługuje tworzenie wielu polityk, kopiowanie, dziedziczenie, przełączanie pomiędzy politykami w czasie rzeczywistym.
Obsługuje indywidualne ustawienia polityki dla różnych segmentów sieci (oddziałów)
Są one dystrybuowane przy użyciu dowolnego dostępnego kanału sygnałowego pomiędzy kontrolerem a routerem i/lub vSmart - nie zależą bezpośrednio od łączności płaszczyzny danych pomiędzy routerami. Wymaga to oczywiście łączności IP pomiędzy samym routerem a kontrolerami.
W przypadku, gdy we wszystkich dostępnych oddziałach oddziału występują znaczne straty danych przekraczające progi dopuszczalne dla aplikacji krytycznych, możliwe jest zastosowanie dodatkowych mechanizmów zwiększających niezawodność transmisji:
- FEC (korekta błędów w przód) – wykorzystuje specjalny algorytm kodowania redundantnego. Podczas transmisji ruchu krytycznego kanałami, w których występuje znaczny procent strat, FEC może zostać automatycznie aktywowany i w razie potrzeby umożliwia przywrócenie utraconej części danych. Zwiększa to nieznacznie wykorzystywane pasmo transmisji, ale znacznie poprawia niezawodność.
- Duplikacja strumieni danych – Oprócz FEC, polisa może przewidywać automatyczne duplikowanie ruchu wybranych aplikacji w przypadku jeszcze poważniejszego poziomu strat, których FEC nie jest w stanie zrekompensować. W takim przypadku wybrane dane zostaną przesłane wszystkimi tunelami w kierunku gałęzi odbiorczej z późniejszą deduplikacją (upuszczaniem dodatkowych kopii pakietów). Mechanizm znacznie zwiększa wykorzystanie kanału, ale także znacznie zwiększa niezawodność transmisji.

Możliwości Cisco SD-WAN, bez bezpośrednich odpowiedników w DMVPN/PfR

Architektura rozwiązania Cisco SD-WAN w niektórych przypadkach pozwala uzyskać możliwości, które albo są niezwykle trudne do wdrożenia w ramach DMVPN/PfR, albo są niepraktyczne ze względu na wymagane koszty pracy, albo są całkowicie niemożliwe. Przyjrzyjmy się najciekawszym z nich:

Inżynieria ruchu (TE)

TE zawiera mechanizmy umożliwiające rozgałęzianie ruchu poza standardową ścieżkę utworzoną przez protokoły routingu. TE jest często wykorzystywane w celu zapewnienia wysokiej dostępności usług sieciowych, poprzez możliwość szybkiego i/lub proaktywnego przeniesienia ruchu krytycznego na alternatywną (rozłączną) ścieżkę transmisji, w celu zapewnienia lepszej jakości usług lub szybkości odtwarzania w przypadku awarii na głównej ścieżce.

Trudność we wdrażaniu TE polega na konieczności wcześniejszego obliczenia i zarezerwowania (sprawdzenia) alternatywnej ścieżki. W sieciach MPLS operatorów telekomunikacyjnych problem ten rozwiązuje się za pomocą technologii takich jak MPLS Traffic-Engineering z rozszerzeniami protokołów IGP i protokołu RSVP. Również ostatnio coraz popularniejsza staje się technologia Segment Routing, która jest bardziej zoptymalizowana pod kątem scentralizowanej konfiguracji i orkiestracji. W klasycznych sieciach WAN technologie te zwykle nie są reprezentowane lub ograniczają się do wykorzystania mechanizmów typu hop-by-hop, takich jak routing oparty na zasadach (PBR), które umożliwiają rozgałęzianie ruchu, ale wdrażają to na każdym routerze osobno – bez konieczności uwzględnić ogólny stan sieci lub wynik PBR w poprzednim lub kolejnym etapie. Wynik zastosowania tych opcji TE jest rozczarowujący - MPLS TE ze względu na złożoność konfiguracji i działania jest stosowany z reguły tylko w najbardziej krytycznej części sieci (rdzeń), a PBR jest używany na poszczególnych routerach bez możliwość stworzenia jednolitej polityki PBR dla całej sieci. Oczywiście dotyczy to również sieci opartych na DMVPN.

SD-WAN pod tym względem oferuje znacznie bardziej eleganckie rozwiązanie, które jest nie tylko łatwe w konfiguracji, ale także znacznie lepiej skalowalne. Jest to wynikiem zastosowanej architektury płaszczyzny kontrolnej i płaszczyzny zasad. Wdrożenie płaszczyzny polityki w SD-WAN pozwala na centralne zdefiniowanie polityki TE – jaki ruch jest przedmiotem zainteresowania? dla jakich VPN? Przez które węzły/tunele konieczne lub wręcz zabronione jest utworzenie trasy alternatywnej? Z kolei centralizacja zarządzania płaszczyzną sterowania w oparciu o kontrolery vSmart pozwala na modyfikację wyników routingu bez konieczności odwoływania się do ustawień poszczególnych urządzeń – routery widzą już jedynie wynik logiki, który został wygenerowany w interfejsie vManage i przekazany do wykorzystania vSmart.

Łańcuch usług

Tworzenie łańcuchów usług jest w klasycznym routingu zadaniem jeszcze bardziej pracochłonnym niż opisany już mechanizm Traffic-Engineering. Rzeczywiście w tym przypadku konieczne jest nie tylko utworzenie specjalnej trasy dla konkretnej aplikacji sieciowej, ale także zapewnienie możliwości usunięcia ruchu z sieci na niektórych (lub wszystkich) węzłach sieci SD-WAN w celu przetworzenia przez specjalna aplikacja lub usługa (zapora sieciowa, równoważenie, buforowanie, kontrola ruchu itp.). Jednocześnie konieczna jest możliwość kontrolowania stanu tych usług zewnętrznych, aby zapobiec sytuacjom „czarnych dziur”, potrzebne są także mechanizmy umożliwiające umieszczanie takich usług zewnętrznych tego samego typu w różnych geolokalizacjach z możliwością automatycznego wyboru przez sieć najbardziej optymalnego węzła usługowego do obsługi ruchu danej gałęzi. W przypadku Cisco SD-WAN jest to dość łatwe do osiągnięcia poprzez stworzenie odpowiedniej scentralizowanej polityki, która „skleja” wszystkie aspekty docelowego łańcucha usług w jedną całość i automatycznie zmienia logikę płaszczyzny danych i płaszczyzny sterowania tylko tam, gdzie i kiedy to konieczne.

Możliwość tworzenia rozproszonego geograficznie przetwarzania ruchu wybranych typów aplikacji w określonej kolejności na specjalistycznym (ale niezwiązanym z samą siecią SD-WAN) sprzęcie jest chyba najbardziej wyraźnym demonstracją przewagi Cisco SD-WAN nad klasycznym technologie, a nawet niektóre alternatywne rozwiązania SD -WAN innych producentów.

Wynik?

Oczywiście zarówno DMVPN (z routingiem wydajnościowym lub bez), jak i Cisco SD-WAN w końcu rozwiązują bardzo podobne problemy w odniesieniu do rozproszonej sieci WAN organizacji. Jednocześnie znaczne różnice architektoniczne i funkcjonalne w technologii Cisco SD-WAN prowadzą do procesu rozwiązywania tych problemów na inny poziom jakości. Podsumowując, możemy zauważyć następujące istotne różnice pomiędzy technologiami SD-WAN i DMVPN/PfR:

DMVPN/PfR na ogół wykorzystują sprawdzone technologie do budowy nakładkowych sieci VPN i pod względem płaszczyzny danych są podobne do bardziej nowoczesnej technologii SD-WAN, jednakże istnieje szereg ograniczeń w postaci obowiązkowej konfiguracji statycznej routerów, a wybór topologii ogranicza się do Hub-n-Spoke. Z drugiej strony DMVPN/PfR posiada pewne funkcjonalności, które nie są jeszcze dostępne w ramach SD-WAN (mówimy o BFD dla poszczególnych aplikacji).
W płaszczyźnie sterowania technologie różnią się zasadniczo. Biorąc pod uwagę scentralizowane przetwarzanie protokołów sygnalizacyjnych, SD-WAN pozwala w szczególności znacznie zawęzić domeny awarii i „oddzielić” proces transmisji ruchu użytkowników od interakcji sygnalizacyjnej - chwilowa niedostępność kontrolerów nie wpływa na możliwość przesyłania ruchu użytkowników . Jednocześnie tymczasowa niedostępność któregokolwiek oddziału (w tym centralnego) nie wpływa w żaden sposób na możliwość interakcji pozostałych oddziałów ze sobą i kontrolerami.
Architektura tworzenia i stosowania polityk zarządzania ruchem w przypadku SD-WAN jest również lepsza niż w DMVPN/PfR - rezerwacja geograficzna jest znacznie lepiej realizowana, nie ma połączenia z Hubem, jest więcej możliwości grzywny -dostrajania polityk, lista wdrożonych scenariuszy zarządzania ruchem jest również znacznie szersza.
Proces orkiestracji rozwiązań również jest znacząco inny. DMVPN zakłada obecność znanych wcześniej parametrów, które trzeba w jakiś sposób odzwierciedlić w konfiguracji, co w pewnym stopniu ogranicza elastyczność rozwiązania i możliwość dynamicznych zmian. Z kolei SD-WAN opiera się na paradygmacie, że w początkowej chwili połączenia router „nic nie wie” o swoich kontrolerach, ale wie, „kogo można zapytać” - to wystarczy nie tylko do automatycznego nawiązania komunikacji z kontrolerami, ale także do automatycznego tworzenia w pełni połączonej topologii płaszczyzny danych, którą można następnie elastycznie konfigurować/zmieniać za pomocą polityk.
Oczekuje się, że pod względem scentralizowanego zarządzania, automatyzacji i monitorowania SD-WAN przewyższy możliwości DMVPN/PfR, które wyewoluowały z klasycznych technologii i w większym stopniu opierają się na wierszu poleceń CLI i wykorzystaniu systemów NMS opartych na szablonach.
W SD-WAN w porównaniu do DMVPN wymagania bezpieczeństwa osiągnęły inny poziom jakościowy. Główne zasady to zero zaufania, skalowalność i uwierzytelnianie dwuskładnikowe.

Te proste wnioski mogą wywołać błędne wrażenie, że tworzenie sieci w oparciu o DMVPN/PfR straciło dziś jakiekolwiek znaczenie. Nie jest to oczywiście do końca prawdą. Na przykład w przypadkach, gdy w sieci jest dużo przestarzałego sprzętu i nie ma możliwości jego wymiany, DMVPN może pozwolić na połączenie „starych” i „nowych” urządzeń w jedną sieć rozproszoną geograficznie z wieloma opisanymi zaletami powyżej.

Z drugiej strony należy pamiętać, że wszystkie obecne routery korporacyjne Cisco oparte na IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) obsługują dziś dowolny tryb pracy – zarówno klasyczny routing, jak i DMVPN i SD-WAN – o wyborze decydują aktualne potrzeby i świadomość, że w każdej chwili korzystając z tego samego sprzętu, można zacząć przechodzić w stronę bardziej zaawansowanej technologii.

Źródło: www.habr.com

Czy Cisco SD-WAN odetnie gałąź, na której siedzi DMVPN?