ProHoster > Blog > administração > A Cisco SD-WAN cortará a filial onde fica o DMVPN?

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Desde agosto de 2017, quando a Cisco adquiriu a Viptela, a principal tecnologia oferecida para organização de redes corporativas distribuídas tornou-se Cisco SD WAN. Nos últimos 3 anos, a tecnologia SD-WAN passou por muitas mudanças, tanto qualitativas quanto quantitativas. Assim, a funcionalidade se expandiu significativamente e apareceu suporte para roteadores clássicos da série Cisco ISR 1000, ISR 4000, ASR 1000 e Virtual CSR 1000v. Ao mesmo tempo, muitos clientes e parceiros da Cisco continuam a se perguntar: quais são as diferenças entre Cisco SD-WAN e abordagens já familiares baseadas em tecnologias como Cisco DMVPN и Roteamento de desempenho Cisco e quão importantes são essas diferenças?

Aqui devemos fazer imediatamente uma reserva de que antes do advento do SD-WAN no portfólio da Cisco, o DMVPN juntamente com o PfR formavam uma parte fundamental na arquitetura Cisco IWAN (WAN inteligente), que por sua vez foi o antecessor da tecnologia SD-WAN completa. Apesar da semelhança geral entre as tarefas resolvidas e os métodos para resolvê-las, a IWAN nunca recebeu o nível de automação, flexibilidade e escalabilidade necessários para SD-WAN e, com o tempo, o desenvolvimento da IWAN diminuiu significativamente. Ao mesmo tempo, as tecnologias que compõem a IWAN não desapareceram e muitos clientes continuam a utilizá-las com sucesso, inclusive em equipamentos modernos. Como resultado, surgiu uma situação interessante - o mesmo equipamento Cisco permite escolher a tecnologia WAN mais adequada (clássica, DMVPN+PfR ou SD-WAN) de acordo com os requisitos e expectativas dos clientes.

O artigo não pretende analisar detalhadamente todas as funcionalidades das tecnologias Cisco SD-WAN e DMVPN (com ou sem Performance Routing) - há uma enorme quantidade de documentos e materiais disponíveis para isso. A principal tarefa é tentar avaliar as principais diferenças entre essas tecnologias. Mas antes de passarmos à discussão destas diferenças, recordemos brevemente as próprias tecnologias.

O que é Cisco DMVPN e por que é necessário?

Cisco DMVPN resolve o problema de conexão dinâmica (= escalável) de uma rede de filial remota à rede do escritório central de uma empresa ao usar tipos arbitrários de canais de comunicação, incluindo a Internet (= com criptografia do canal de comunicação). Tecnicamente, isso é realizado criando uma rede de sobreposição virtualizada de classe VPN L3 em modo ponto-multiponto com uma topologia lógica do tipo “Estrela” (Hub-n-Spoke). Para conseguir isso, DMVPN utiliza uma combinação das seguintes tecnologias:

  • Roteamento IP
  • Túneis GRE multiponto (mGRE)
  • Protocolo de resolução do próximo salto (NHRP)
  • Perfis criptográficos IPSec

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Quais são as principais vantagens do Cisco DMVPN em comparação ao roteamento clássico usando canais VPN MPLS?

  • Para criar uma rede interfilial, é possível usar qualquer canal de comunicação - qualquer coisa que possa fornecer conectividade IP entre filiais é adequada, enquanto o tráfego será criptografado (quando necessário) e balanceado (quando possível)
  • Uma topologia totalmente conectada entre ramificações é formada automaticamente. Ao mesmo tempo, existem túneis estáticos entre as filiais centrais e remotas e túneis dinâmicos sob demanda entre as filiais remotas (se houver tráfego)
  • Os roteadores da filial central e remota possuem a mesma configuração até os endereços IP das interfaces. Ao usar o mGRE, não há necessidade de configurar individualmente dezenas, centenas ou mesmo milhares de túneis. Como resultado, escalabilidade decente com o design certo.

O que é o Cisco Performance Routing e por que ele é necessário?

Ao usar DMVPN em uma rede interfilial, uma questão extremamente importante permanece sem solução - como avaliar dinamicamente o estado de cada um dos túneis DMVPN para conformidade com os requisitos de tráfego críticos para nossa organização e, novamente, com base em tal avaliação, fazer dinamicamente uma decisão sobre o reencaminhamento? O fato é que o DMVPN nesta parte difere pouco do roteamento clássico - o melhor que pode ser feito é configurar mecanismos de QoS que permitirão priorizar o tráfego na direção de saída, mas não são de forma alguma capazes de levar em conta o estado de todo o caminho de uma vez ou outra.

E o que fazer se o canal se degradar parcialmente e não completamente - como detectar e avaliar isso? O próprio DMVPN não pode fazer isso. Considerando que os canais que ligam as filiais podem passar por operadoras de telecomunicações completamente diferentes, utilizando tecnologias completamente diferentes, esta tarefa torna-se extremamente não trivial. E é aqui que a tecnologia Cisco Performance Routing vem em socorro, que naquela época já havia passado por vários estágios de desenvolvimento.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

A tarefa do Cisco Performance Routing (doravante PfR) se resume a medir o estado dos caminhos (túneis) de tráfego com base nas principais métricas importantes para aplicativos de rede - latência, variação de latência (jitter) e perda de pacotes (porcentagem). Além disso, a largura de banda utilizada pode ser medida. Essas medições ocorrem o mais próximo possível e justificado do tempo real, e o resultado dessas medições permite que o roteador que utiliza o PfR tome decisões de forma dinâmica sobre a necessidade de alterar o roteamento deste ou daquele tipo de tráfego.

Assim, a tarefa da combinação DMVPN/PfR pode ser brevemente descrita como segue:

  • Permitir que o cliente utilize qualquer canal de comunicação na rede WAN
  • Garanta a mais alta qualidade possível de aplicações críticas nesses canais

O que é Cisco SD WAN?

Cisco SD-WAN é uma tecnologia que usa a abordagem SDN para criar e operar a rede WAN de uma organização. Isto significa, em particular, o uso dos chamados controladores (elementos de software), que fornecem orquestração centralizada e configuração automatizada de todos os componentes da solução. Ao contrário do SDN canônico (estilo Clean Slate), o Cisco SD-WAN usa vários tipos de controladores, cada um dos quais desempenha sua própria função - isso foi feito intencionalmente para fornecer melhor escalabilidade e redundância geográfica.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

No caso do SD-WAN, a tarefa de utilizar quaisquer tipos de canais e garantir o funcionamento das aplicações de negócios permanece a mesma, mas ao mesmo tempo, os requisitos de automação, escalabilidade, segurança e flexibilidade de tal rede se expandem.

Discussão de diferenças

Se começarmos agora a analisar as diferenças entre estas tecnologias, elas cairão numa das seguintes categorias:

  • Diferenças arquitetônicas - como as funções são distribuídas entre os vários componentes da solução, como é organizada a interação de tais componentes e como isso afeta os recursos e a flexibilidade da tecnologia?
  • Funcionalidade – o que uma tecnologia pode fazer e outra não? E isso é realmente tão importante?

Quais são as diferenças arquitetônicas e elas são importantes?

Cada uma dessas tecnologias possui muitas “partes móveis” que diferem não apenas em suas funções, mas também na forma como interagem entre si. A forma como estes princípios são pensados ​​e a mecânica geral da solução determinam diretamente a sua escalabilidade, tolerância a falhas e eficiência global.

Vejamos os vários aspectos da arquitetura com mais detalhes:

Plano de dados – parte da solução responsável pela transmissão do tráfego do usuário entre a origem e o destinatário. DMVPN e SD-WAN são implementados geralmente de forma idêntica nos próprios roteadores com base em túneis GRE multiponto. A diferença é como o conjunto de parâmetros necessário para esses túneis é formado:

  • в DMVPN/PfR é uma hierarquia de nós exclusivamente de dois níveis com uma topologia Star ou Hub-n-Spoke. São necessárias a configuração estática do Hub e a ligação estática do Spoke ao Hub, bem como a interação por meio do protocolo NHRP para formar a conectividade do plano de dados. Consequentemente, tornar as alterações no Hub significativamente mais difíceisrelacionados, por exemplo, à alteração/conexão de novos canais WAN ou à alteração dos parâmetros dos existentes.
  • в SD-WAN é um modelo totalmente dinâmico para detecção de parâmetros de túneis instalados com base no plano de controle (protocolo OMP) e no plano de orquestração (interação com o controlador vBond para detecção do controlador e tarefas de passagem NAT). Neste caso, quaisquer topologias sobrepostas podem ser utilizadas, inclusive hierárquicas. Dentro da topologia de túnel de sobreposição estabelecida, é possível a configuração flexível da topologia lógica em cada VPN (VRF) individual.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Plano de controle – funções de troca, filtragem e modificação de roteamento e outras informações entre componentes da solução.

  • в DMVPN/PfR – realizado apenas entre roteadores Hub e Spoke. A troca direta de informações de roteamento entre Spokes não é possível. Consequentemente, Sem um Hub funcional, o plano de controle e o plano de dados não podem funcionar, o que impõe requisitos adicionais de alta disponibilidade ao Hub que nem sempre podem ser atendidos.
  • в SD-WAN – o plano de controle nunca é realizado diretamente entre roteadores – a interação ocorre com base no protocolo OMP e é necessariamente realizada através de um tipo especializado separado de controlador vSmart, que oferece a possibilidade de balanceamento, reserva geográfica e controle centralizado do carga de sinal. Outra característica do protocolo OMP é sua significativa resistência a perdas e independência da velocidade do canal de comunicação com os controladores (dentro de limites razoáveis, é claro). O que permite com igual sucesso colocar controladores SD-WAN em nuvens públicas ou privadas com acesso via Internet.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Plano de política – parte da solução responsável por definir, distribuir e aplicar políticas de gestão de tráfego numa rede distribuída.

  • DMVPN – é efetivamente limitado pelas políticas de qualidade de serviço (QoS) configuradas individualmente em cada roteador por meio dos modelos CLI ou Prime Infrastructure.
  • DMVPN/PfR – As políticas PfR são formadas no roteador Master Controller (MC) centralizado por meio da CLI e depois distribuídas automaticamente aos MCs das filiais. Neste caso, são utilizados os mesmos caminhos de transferência de política que para o plano de dados. Não há possibilidade de separar a troca de políticas, informações de roteamento e dados do usuário. A propagação da política requer a presença de conectividade IP entre o Hub e o Spoke. Neste caso, a função MC pode, se necessário, ser combinada com um roteador DMVPN. É possível (mas não obrigatório) usar modelos de infraestrutura Prime para geração centralizada de políticas. Uma característica importante é que a política é formada globalmente em toda a rede da mesma maneira - Políticas individuais para segmentos individuais não são suportadas.
  • SD-WAN – a gestão do tráfego e as políticas de qualidade de serviço são determinadas centralmente através da interface gráfica Cisco vManage, acessível também através da Internet (se necessário). Eles são distribuídos através de canais de sinalização direta ou indiretamente através de controladores vSmart (dependendo do tipo de política). Eles não dependem da conectividade do plano de dados entre roteadores, porque use todos os caminhos de tráfego disponíveis entre o controlador e o roteador.

    Para diferentes segmentos de rede, é possível formular diferentes políticas com flexibilidade - o escopo da política é determinado por muitos identificadores exclusivos fornecidos na solução - número da agência, tipo de aplicação, direção do tráfego, etc.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Plano de orquestração – mecanismos que permitem que os componentes se detectem dinamicamente, configurem e coordenem interações subsequentes.

  • в DMVPN/PfR A descoberta mútua entre roteadores é baseada na configuração estática dos dispositivos Hub e na configuração correspondente dos dispositivos Spoke. A descoberta dinâmica ocorre apenas para o Spoke, que reporta seus parâmetros de conexão do Hub ao dispositivo, que por sua vez é pré-configurado com o Spoke. Sem conectividade IP entre o Spoke e pelo menos um Hub, é impossível formar um plano de dados ou um plano de controle.
  • в SD-WAN a orquestração dos componentes da solução ocorre usando o controlador vBond, com o qual cada componente (roteadores e controladores vManage/vSmart) deve primeiro estabelecer conectividade IP.

    Inicialmente, os componentes não conhecem os parâmetros de conexão uns dos outros - para isso precisam do orquestrador intermediário vBond. O princípio geral é o seguinte - cada componente na fase inicial aprende (automática ou estaticamente) apenas sobre os parâmetros de conexão ao vBond, então o vBond informa o roteador sobre os controladores vManage e vSmart (descobertos anteriormente), o que torna possível estabelecer automaticamente todas as conexões de sinalização necessárias.

    A próxima etapa é o novo roteador aprender sobre os outros roteadores da rede por meio da comunicação OMP com o controlador vSmart. Assim, o roteador, sem saber inicialmente nada sobre os parâmetros da rede, é capaz de detectar e conectar-se aos controladores de forma totalmente automática e, em seguida, também detectar e formar conectividade automaticamente com outros roteadores. Neste caso, os parâmetros de conexão de todos os componentes são inicialmente desconhecidos e podem mudar durante a operação.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Plano de gerenciamento – parte da solução que fornece gerenciamento e monitoramento centralizados.

  • DMVPN/PfR – nenhuma solução especializada de plano de gerenciamento é fornecida. Para automação e monitoramento básicos, produtos como Cisco Prime Infrastructure podem ser usados. Cada roteador pode ser controlado por meio da linha de comando CLI. A integração com sistemas externos via API não é fornecida.
  • SD-WAN – toda a interação e monitoramento regulares são realizados centralmente através da interface gráfica do controlador vManage. Todos os recursos da solução, sem exceção, estão disponíveis para configuração por meio do vManage, bem como por meio de uma biblioteca REST API totalmente documentada.

    Todas as configurações de rede SD-WAN no vManage se resumem a duas construções principais - a formação de modelos de dispositivos (Device Template) e a formação de uma política que determina a lógica de operação da rede e processamento de tráfego. Ao mesmo tempo, o vManage, transmitindo a política gerada pelo administrador, seleciona automaticamente quais alterações e em quais dispositivos/controladores individuais precisam ser feitas, o que aumenta significativamente a eficiência e escalabilidade da solução.

    Através da interface vManage, está disponível não apenas a configuração da solução Cisco SD-WAN, mas também o monitoramento completo do status de todos os componentes da solução, até o estado atual das métricas de túneis individuais e estatísticas sobre o uso de vários aplicativos com base na análise de DPI.

    Apesar da centralização da interação, todos os componentes (controladores e roteadores) também possuem uma linha de comando CLI totalmente funcional, necessária na fase de implementação ou em caso de emergência para diagnóstico local. No modo normal (se houver canal de sinalização entre componentes) nos roteadores, a linha de comando está disponível apenas para diagnóstico e não está disponível para fazer alterações locais, o que garante segurança local e a única fonte de alterações em tal rede é o vManage.

Segurança Integrada – aqui devemos falar não apenas sobre a proteção dos dados do usuário quando transmitidos em canais abertos, mas também sobre a segurança geral da rede WAN com base na tecnologia selecionada.

  • в DMVPN/PfR É possível criptografar dados do usuário e protocolos de sinalização. Ao usar determinados modelos de roteador, funções de firewall com inspeção de tráfego, IPS/IDS estão disponíveis adicionalmente. É possível segmentar redes de filiais usando VRF. É possível autenticar protocolos de controle (de um fator).

    Neste caso, o roteador remoto é considerado um elemento confiável da rede por padrão – ou seja, casos de comprometimento físico de dispositivos individuais e a possibilidade de acesso não autorizado a eles não são assumidos ou levados em consideração; não há autenticação de dois fatores dos componentes da solução, o que no caso de uma rede distribuída geograficamente pode acarretar riscos adicionais significativos.

  • в SD-WAN por analogia com DMVPN, a capacidade de criptografar dados do usuário é fornecida, mas com segurança de rede significativamente expandida e funções de segmentação L3/VRF (firewall, IPS/IDS, filtragem de URL, filtragem de DNS, AMP/TG, SASE, proxy TLS/SSL, etc.) d.). Ao mesmo tempo, a troca de chaves de criptografia é realizada de forma mais eficiente através de controladores vSmart (e não diretamente), através de canais de sinalização pré-estabelecidos e protegidos por criptografia DTLS/TLS baseada em certificados de segurança. O que por sua vez garante a segurança dessas trocas e garante melhor escalabilidade da solução até dezenas de milhares de dispositivos na mesma rede.

    Todas as conexões de sinalização (controlador para controlador, controlador-roteador) também são protegidas com base em DTLS/TLS. Os roteadores são equipados com certificados de segurança durante a produção com possibilidade de substituição/ampliação. A autenticação de dois fatores é alcançada através do cumprimento obrigatório e simultâneo de duas condições para que o roteador/controlador funcione em uma rede SD-WAN:

    • Certificado de segurança válido
    • Inclusão explícita e consciente por parte do administrador de cada componente na lista “branca” de dispositivos permitidos.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Diferenças funcionais entre SD-WAN e DMVPN/PfR

Passando a discutir as diferenças funcionais, deve-se notar que muitas delas são uma continuação das diferenças arquitetônicas - não é segredo que, ao formar a arquitetura de uma solução, os desenvolvedores partem dos recursos que desejam obter no final. Vejamos as diferenças mais significativas entre as duas tecnologias.

AppQ (Application Quality) – funções para garantir a qualidade da transmissão do tráfego de aplicativos de negócios

As principais funções das tecnologias em consideração visam melhorar ao máximo a experiência do usuário ao usar aplicativos críticos para os negócios em uma rede distribuída. Isto é especialmente importante em condições em que parte da infraestrutura não é controlada pela TI ou nem sequer garante uma transferência de dados bem-sucedida.

O próprio DMVPN não fornece tais mecanismos. O melhor que pode ser feito em uma rede DMVPN clássica é classificar o tráfego de saída por aplicação e priorizá-lo quando transmitido para o canal WAN. A escolha de um túnel DMVPN é determinada neste caso apenas pela sua disponibilidade e pelo resultado da operação dos protocolos de roteamento. Ao mesmo tempo, o estado ponta a ponta do caminho/túnel e sua possível degradação parcial não são levados em consideração em termos de métricas-chave que são significativas para aplicações de rede - atraso, variação de atraso (jitter) e perdas (% ). Nesse sentido, comparar diretamente o DMVPN clássico com SD-WAN em termos de solução de problemas de AppQ perde todo o sentido - o DMVPN não pode resolver esse problema. Quando você adiciona a tecnologia Cisco Performance Routing (PfR) a esse contexto, a situação muda e a comparação com o Cisco SD-WAN se torna mais significativa.

Antes de discutirmos as diferenças, vejamos rapidamente como as tecnologias são semelhantes. Então, ambas as tecnologias:

  • ter um mecanismo que permite avaliar dinamicamente o estado de cada túnel estabelecido em termos de determinadas métricas - no mínimo, atraso, variação de atraso e perda de pacotes (%)
  • usar um conjunto específico de ferramentas para formar, distribuir e aplicar regras (políticas) de gerenciamento de tráfego, levando em consideração os resultados da medição do estado das principais métricas do túnel.
  • classificar o tráfego de aplicativos nos níveis L3-L4 (DSCP) do modelo OSI ou por assinaturas de aplicativos L7 com base em mecanismos DPI integrados ao roteador
  • Para aplicações significativas, eles permitem determinar valores limites aceitáveis ​​de métricas, regras para transmissão de tráfego por padrão e regras para redirecionar o tráfego quando os valores limites são excedidos.
  • Ao encapsular o tráfego em GRE/IPSec, eles usam o mecanismo já estabelecido na indústria para transferir marcações DSCP internas para o cabeçalho do pacote GRE/IPSEC externo, o que permite sincronizar as políticas de QoS da organização e da operadora de telecomunicações (se houver um SLA apropriado). .

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Como as métricas ponta a ponta de SD-WAN e DMVPN/PfR diferem?

DMVPN/PfR

  • Sensores de software ativos e passivos (Probes) são usados ​​para avaliar métricas padrão de integridade do túnel. Os ativos são baseados no tráfego do usuário, os passivos emulam esse tráfego (na sua ausência).
  • Não há ajuste fino de temporizadores e condições de detecção de degradação - o algoritmo é fixo.
  • Além disso, está disponível a medição da largura de banda utilizada na direção de saída. O que adiciona flexibilidade adicional de gerenciamento de tráfego ao DMVPN/PfR.
  • Ao mesmo tempo, alguns mecanismos PfR, quando as métricas são excedidas, dependem de sinalização de feedback na forma de mensagens especiais TCA (Threshold Crossing Alert) que devem vir do destinatário do tráfego em direção à fonte, que por sua vez assume que o estado do os canais medidos devem ser pelo menos suficientes para a transmissão de tais mensagens TCA. O que na maioria dos casos não é um problema, mas obviamente não pode ser garantido.

SD-WAN

  • Para avaliação ponta a ponta das métricas padrão do estado do túnel, o protocolo BFD é usado no modo echo. Nesse caso, não é necessário feedback especial na forma de TCA ou mensagens semelhantes - o isolamento dos domínios de falha é mantido. Também não requer a presença de tráfego de usuários para avaliar o estado do túnel.
  • É possível ajustar os temporizadores BFD para regular a velocidade de resposta e a sensibilidade do algoritmo à degradação do canal de comunicação de vários segundos a minutos.

    A Cisco SD-WAN cortará a filial onde fica o DMVPN?

  • No momento em que este artigo foi escrito, havia apenas uma sessão BFD em cada túnel. Isto potencialmente cria menos granularidade na análise do estado do túnel. Na realidade, isso só pode se tornar uma limitação se você usar uma conexão WAN baseada em VPN MPLS L2/L3 com um QoS SLA acordado - se a marcação DSCP do tráfego BFD (após encapsulamento em IPSec/GRE) corresponder à fila de alta prioridade em rede da operadora de telecomunicações, isso poderá afetar a precisão e a velocidade da detecção de degradação para tráfego de baixa prioridade. Ao mesmo tempo, é possível alterar a rotulagem padrão do BFD para reduzir o risco de tais situações. Em versões futuras do software Cisco SD-WAN, são esperadas configurações de BFD mais ajustadas, bem como a capacidade de iniciar várias sessões de BFD dentro do mesmo túnel com valores DSCP individuais (para diferentes aplicações).
  • Além disso, o BFD permite estimar o tamanho máximo do pacote que pode ser transmitido através de um túnel específico sem fragmentação. Isso permite que o SD-WAN ajuste dinamicamente parâmetros como MTU e TCP MSS Adjust para aproveitar ao máximo a largura de banda disponível em cada link.
  • No SD-WAN também está disponível a opção de sincronização de QoS das operadoras de telecomunicações, não apenas com base em campos L3 DSCP, mas também com base em valores L2 CoS, que podem ser gerados automaticamente na rede da filial por dispositivos especializados - por exemplo, IP telefones

Como diferem as capacidades e métodos de definição e aplicação de políticas AppQ?

Políticas DMVPN/PfR:

  • Definido no(s) roteador(es) da filial central por meio da linha de comando da CLI ou dos modelos de configuração da CLI. A geração de modelos CLI requer preparação e conhecimento da sintaxe da política.

    A Cisco SD-WAN cortará a filial onde fica o DMVPN?

  • Definido globalmente sem a possibilidade de configuração/alteração individual dos requisitos de segmentos de rede individuais.
  • A geração interativa de políticas não é fornecida na interface gráfica.
  • Não são fornecidos rastreamento de alterações, herança e criação de múltiplas versões de políticas para troca rápida.
  • Distribuído automaticamente para roteadores de filiais remotas. Neste caso, são utilizados os mesmos canais de comunicação utilizados para a transmissão dos dados do usuário. Se não houver canal de comunicação entre a agência central e remota, a distribuição/alteração de políticas é impossível.
  • Eles são utilizados em cada roteador e, se necessário, modificam o resultado dos protocolos de roteamento padrão, tendo maior prioridade.
  • Para casos em que todos os links WAN de filiais sofrem perda significativa de tráfego, nenhum mecanismo de compensação fornecido.

Políticas SD-WAN:

  • Definido na GUI do vManage por meio do assistente de modelo interativo.
  • Suporta a criação de múltiplas políticas, cópia, herança e alternância entre políticas em tempo real.
  • Suporta configurações de políticas individuais para diferentes segmentos de rede (filiais)
  • Eles são distribuídos usando qualquer canal de sinal disponível entre o controlador e o roteador e/ou vSmart - não dependem diretamente da conectividade do plano de dados entre os roteadores. É claro que isso requer conectividade IP entre o próprio roteador e os controladores.

    A Cisco SD-WAN cortará a filial onde fica o DMVPN?

  • Para os casos em que todas as filiais disponíveis de uma filial sofrem perdas significativas de dados que excedem os limites aceitáveis ​​para aplicações críticas, é possível usar mecanismos adicionais que aumentam a confiabilidade da transmissão:
    • FEC (correção de erros de encaminhamento) – usa um algoritmo de codificação redundante especial. Ao transmitir tráfego crítico em canais com percentual significativo de perdas, o FEC pode ser ativado automaticamente e permite, se necessário, restaurar a parte perdida dos dados. Isto aumenta ligeiramente a largura de banda de transmissão utilizada, mas melhora significativamente a confiabilidade.

      A Cisco SD-WAN cortará a filial onde fica o DMVPN?

    • Duplicação de fluxos de dados – Além do FEC, a política pode prever a duplicação automática do tráfego de aplicações selecionadas no caso de um nível de perdas ainda mais grave que não possa ser compensado pelo FEC. Neste caso, os dados selecionados serão transmitidos através de todos os túneis em direção à filial receptora com posterior desduplicação (descarte de cópias extras de pacotes). O mecanismo aumenta significativamente a utilização do canal, mas também aumenta significativamente a confiabilidade da transmissão.

Capacidades Cisco SD-WAN, sem análogos diretos em DMVPN/PfR

A arquitetura da solução Cisco SD-WAN, em alguns casos, permite obter recursos que são extremamente difíceis de implementar dentro do DMVPN/PfR, ou são impraticáveis ​​devido aos custos de mão de obra necessários, ou são completamente impossíveis. Vejamos os mais interessantes deles:

Engenharia de Tráfego (TE)

TE inclui mecanismos que permitem que o tráfego se ramifique do caminho padrão formado pelos protocolos de roteamento. A TE é frequentemente utilizada para garantir alta disponibilidade de serviços de rede, através da capacidade de transferir de forma rápida e/ou proativa o tráfego crítico para um caminho de transmissão alternativo (disjunto), a fim de garantir melhor qualidade de serviço ou velocidade de recuperação em caso de falha. no caminho principal.

A dificuldade na implementação da TE reside na necessidade de calcular e reservar (verificar) antecipadamente um caminho alternativo. Nas redes MPLS das operadoras de telecomunicações, esse problema é resolvido por meio de tecnologias como MPLS Traffic-Engineering com extensões dos protocolos IGP e protocolo RSVP. Também recentemente, a tecnologia de Roteamento por Segmentos, que é mais otimizada para configuração e orquestração centralizadas, tornou-se cada vez mais popular. Nas redes WAN clássicas, essas tecnologias geralmente não são representadas ou são reduzidas ao uso de mecanismos hop-by-hop como Policy-Based Routing (PBR), que são capazes de ramificar o tráfego, mas implementam isso em cada roteador separadamente - sem tomar leva em consideração o estado geral da rede ou o resultado do PBR nas etapas anteriores ou subsequentes. O resultado da utilização dessas opções de TE é decepcionante - MPLS TE, devido à complexidade de configuração e operação, é utilizado, via de regra, apenas na parte mais crítica da rede (núcleo), e o PBR é utilizado em roteadores individuais sem a capacidade de criar uma política PBR unificada para toda a rede. Obviamente, isto também se aplica a redes baseadas em DMVPN.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

Nesse sentido, SD-WAN oferece uma solução muito mais elegante que não só é fácil de configurar, mas também é muito melhor dimensionada. Isso é resultado das arquiteturas de plano de controle e de plano de política utilizadas. A implementação de um plano de políticas em SD-WAN permite definir centralmente a política de TE – qual tráfego é de interesse? para quais VPNs? Através de quais nós/túneis é necessário ou, pelo contrário, proibido formar uma rota alternativa? Por sua vez, a centralização do gerenciamento do plano de controle baseado em controladores vSmart permite modificar os resultados do roteamento sem recorrer às configurações de dispositivos individuais - os roteadores já veem apenas o resultado da lógica que foi gerada na interface vManage e transferida para uso para vSmart.

Encadeamento de serviços

Formar cadeias de serviços é uma tarefa ainda mais trabalhosa no roteamento clássico do que o já descrito mecanismo de Engenharia de Tráfego. Com efeito, neste caso, é necessário não só criar uma rota especial para uma aplicação de rede específica, mas também garantir a capacidade de remover o tráfego da rede em certos (ou todos) nós da rede SD-WAN para processamento por uma aplicação ou serviço especial (Firewall, Balanceamento, Cache, Tráfego de inspeção, etc.). Ao mesmo tempo, é necessário poder controlar o estado destes serviços externos, a fim de evitar situações de black-hole, e também são necessários mecanismos que permitam que tais serviços externos do mesmo tipo sejam colocados em diferentes geolocalizações. com a capacidade da rede de selecionar automaticamente o nó de serviço mais adequado para processar o tráfego de uma filial específica. No caso do Cisco SD-WAN, isso é muito fácil de conseguir através da criação de uma política centralizada apropriada que “grude” todos os aspectos da cadeia de serviço alvo em um único todo e altere automaticamente a lógica do plano de dados e do plano de controle apenas onde e quando necessário.

A Cisco SD-WAN cortará a filial onde fica o DMVPN?

A capacidade de criar processamento geodistribuído de tráfego de tipos selecionados de aplicativos em uma determinada sequência em equipamentos especializados (mas não relacionados à própria rede SD-WAN) é talvez a demonstração mais clara das vantagens do Cisco SD-WAN sobre o clássico tecnologias e até algumas soluções SD alternativas -WAN de outros fabricantes.

O resultado?

Obviamente, tanto DMVPN (com ou sem Performance Routing) quanto Cisco SD-WAN acabam resolvendo problemas muito semelhantes em relação à rede WAN distribuída da organização. Ao mesmo tempo, diferenças arquitetônicas e funcionais significativas na tecnologia Cisco SD-WAN levam ao processo de resolução desses problemas para outro nível de qualidade. Para resumir, podemos observar as seguintes diferenças significativas entre as tecnologias SD-WAN e DMVPN/PfR:

  • DMVPN/PfR em geral usa tecnologias testadas pelo tempo para construir redes VPN de sobreposição e, em termos de plano de dados, são semelhantes à tecnologia SD-WAN mais moderna, no entanto, há uma série de limitações na forma de uma configuração estática obrigatória de roteadores e a escolha de topologias é limitada ao Hub-n-Spoke. Por outro lado, DMVPN/PfR possui algumas funcionalidades que ainda não estão disponíveis no SD-WAN (estamos falando de BFD por aplicação).
  • Dentro do plano de controle, as tecnologias diferem fundamentalmente. Tendo em conta o processamento centralizado dos protocolos de sinalização, o SD-WAN permite, em particular, estreitar significativamente os domínios de falha e “desacoplar” o processo de transmissão do tráfego do utilizador da interação de sinalização - a indisponibilidade temporária dos controladores não afeta a capacidade de transmitir o tráfego do utilizador . Ao mesmo tempo, a indisponibilidade temporária de qualquer agência (incluindo a central) não afeta de forma alguma a capacidade de outras agências interagirem entre si e com os controladores.
  • A arquitetura para a formação e aplicação de políticas de gerenciamento de tráfego no caso do SD-WAN também é superior à do DMVPN/PfR - a geo-reserva é muito melhor implementada, não há conexão com o Hub, há mais oportunidades de multa Com políticas de ajuste, a lista de cenários de gestão de tráfego implementados também é muito maior.
  • O processo de orquestração da solução também é significativamente diferente. O DMVPN pressupõe a presença de parâmetros previamente conhecidos que devem ser refletidos de alguma forma na configuração, o que limita um pouco a flexibilidade da solução e a possibilidade de alterações dinâmicas. Por sua vez, o SD-WAN baseia-se no paradigma de que no momento inicial da conexão, o roteador “não sabe nada” sobre seus controladores, mas sabe “a quem pode perguntar” - isso é suficiente não apenas para estabelecer comunicação automaticamente com os controladores, mas também para formar automaticamente uma topologia de plano de dados totalmente conectada, que pode então ser configurada/alterada de forma flexível usando políticas.
  • Em termos de gerenciamento centralizado, automação e monitoramento, espera-se que SD-WAN supere as capacidades do DMVPN/PfR, que evoluíram a partir de tecnologias clássicas e dependem mais fortemente da linha de comando CLI e do uso de sistemas NMS baseados em modelos.
  • Na SD-WAN, em comparação com a DMVPN, os requisitos de segurança atingiram um nível qualitativo diferente. Os princípios principais são confiança zero, escalabilidade e autenticação de dois fatores.

Estas conclusões simples podem dar a impressão errada de que a criação de uma rede baseada em DMVPN/PfR perdeu toda a relevância hoje. É claro que isso não é inteiramente verdade. Por exemplo, nos casos em que a rede utiliza muitos equipamentos desatualizados e não há como substituí-los, o DMVPN pode permitir combinar dispositivos “antigos” e “novos” em uma única rede geo-distribuída com muitas das vantagens descritas. acima.

Por outro lado, deve-se lembrar que todos os atuais roteadores corporativos Cisco baseados em IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) hoje suportam qualquer modo operacional - tanto roteamento clássico quanto DMVPN e SD-WAN - a escolha é determinada pelas necessidades atuais e pela compreensão de que a qualquer momento, utilizando o mesmo equipamento, você pode começar a caminhar para uma tecnologia mais avançada.

Fonte: habr.com

Adicionar um comentário