Odreže Cisco SD-WAN vetvu, na ktorej sedí DMVPN?

Od augusta 2017, keď spoločnosť Cisco získala Viptela, sa hlavnou technológiou ponúkanou na organizovanie distribuovaných podnikových sietí stala Cisco SD-WAN. Za posledné 3 roky prešla technológia SD-WAN mnohými zmenami, kvalitatívnymi aj kvantitatívnymi. Funkčnosť sa teda výrazne rozšírila a podpora sa objavila na klasických smerovačoch série Cisco ISR 1000, ISR 4000, ASR 1000 a Virtual CSR 1000v. Zároveň sa mnohí zákazníci a partneri spoločnosti Cisco stále pýtajú: aké sú rozdiely medzi Cisco SD-WAN a už známymi prístupmi založenými na technológiách ako napr Cisco DMVPN и Cisco Performance Routing a aké dôležité sú tieto rozdiely?

Tu by sme mali okamžite urobiť výhradu, že pred príchodom SD-WAN v portfóliu Cisco tvorili DMVPN spolu s PfR kľúčovú súčasť architektúry Cisco IWAN (inteligentná sieť WAN), ktorý bol zasa predchodcom plnohodnotnej technológie SD-WAN. Napriek všeobecnej podobnosti riešených úloh a metód ich riešenia, IWAN nikdy nezískal úroveň automatizácie, flexibility a škálovateľnosti potrebnú pre SD-WAN a postupom času sa vývoj IWAN výrazne znížil. Zároveň technológie, ktoré tvoria IWAN, nezmizli a mnohí zákazníci ich naďalej úspešne používajú, a to aj na moderných zariadeniach. V dôsledku toho nastala zaujímavá situácia - rovnaké vybavenie Cisco umožňuje vybrať si najvhodnejšiu technológiu WAN (klasická, DMVPN+PfR alebo SD-WAN) v súlade s požiadavkami a očakávaniami zákazníkov.

Tento článok nemá v úmysle podrobne analyzovať všetky funkcie technológií Cisco SD-WAN a DMVPN (s alebo bez smerovania výkonu) - existuje na to obrovské množstvo dostupných dokumentov a materiálov. Hlavnou úlohou je pokúsiť sa zhodnotiť kľúčové rozdiely medzi týmito technológiami. Ale predtým, ako prejdeme k diskusii o týchto rozdieloch, stručne si pripomeňme samotné technológie.

Čo je Cisco DMVPN a prečo je to potrebné?

Cisco DMVPN rieši problém dynamického (= škálovateľného) pripojenia vzdialenej pobočkovej siete do siete centrály podniku pri použití ľubovoľných typov komunikačných kanálov vrátane internetu (= so šifrovaním komunikačného kanála). Technicky sa to realizuje vytvorením virtualizovanej prekryvnej siete triedy L3 VPN v režime point-to-multipoint s logickou topológiou typu „Star“ (Hub-n-Spoke). Na dosiahnutie tohto cieľa používa DMVPN kombináciu nasledujúcich technológií:

• IP smerovanie
• Viacbodové GRE tunely (mGRE)
• Next Hop Resolution Protocol (NHRP)
• IPSec Crypto profily

Aké sú hlavné výhody Cisco DMVPN v porovnaní s klasickým smerovaním pomocou MPLS VPN kanálov?

• Na vytvorenie medziodvetvovej siete je možné použiť akékoľvek komunikačné kanály - vhodné je čokoľvek, čo dokáže zabezpečiť IP konektivitu medzi pobočkami, pričom prevádzka bude šifrovaná (kde je to potrebné) a vyvážená (kde je to možné)
• Automaticky sa vytvorí plne prepojená topológia medzi vetvami. Súčasne existujú statické tunely medzi centrálnou a vzdialenou pobočkou a dynamické tunely na požiadanie medzi vzdialenými pobočkami (ak je premávka)
• Smerovače centrálnej a vzdialenej pobočky majú rovnakú konfiguráciu až do IP adries rozhraní. Použitím mGRE nie je potrebné individuálne konfigurovať desiatky, stovky alebo dokonca tisíce tunelov. Výsledkom je slušná škálovateľnosť so správnym dizajnom.

Čo je Cisco Performance Routing a prečo je to potrebné?

Pri používaní DMVPN na medziodvetvovej sieti zostáva nevyriešená jedna mimoriadne dôležitá otázka – ako dynamicky posúdiť stav každého z tunelov DMVPN z hľadiska súladu s požiadavkami na prevádzku kritickú pre našu organizáciu a opäť na základe takéhoto posúdenia dynamicky vykonať rozhodnutie o zmene trasy? Faktom je, že DMVPN sa v tejto časti len málo líši od klasického smerovania - najlepšie, čo sa dá urobiť, je nakonfigurovať mechanizmy QoS, ktoré vám umožnia uprednostniť prevádzku v odchádzajúcem smere, ale v žiadnom prípade nie sú schopné zohľadniť stav celú cestu v tom či onom čase.

A čo robiť, ak sa kanál degraduje čiastočne a nie úplne - ako to zistiť a vyhodnotiť? Samotný DMVPN to nedokáže. Vzhľadom na to, že kanály spájajúce pobočky môžu prechádzať cez úplne odlišných telekomunikačných operátorov s použitím úplne odlišných technológií, sa táto úloha stáva extrémne netriviálnou. A tu prichádza na pomoc technológia Cisco Performance Routing, ktorá v tom čase už prešla niekoľkými fázami vývoja.

Úloha Cisco Performance Routing (ďalej PfR) spočíva v meraní stavu ciest (tunelov) prevádzky na základe kľúčových metrík dôležitých pre sieťové aplikácie - latencia, variácia latencie (jitter) a strata paketov (percentá). Okrem toho je možné merať použitú šírku pásma. Tieto merania prebiehajú čo najbližšie k reálnemu času a opodstatnene a výsledok týchto meraní umožňuje smerovaču pomocou PfR dynamicky rozhodovať o potrebe zmeniť smerovanie toho či onoho typu prevádzky.

Úlohu kombinácie DMVPN/PfR možno teda stručne opísať takto:

• Umožnite zákazníkovi využívať akékoľvek komunikačné kanály v sieti WAN
• Zabezpečte najvyššiu možnú kvalitu kritických aplikácií na týchto kanáloch

Čo je Cisco SD-WAN?

Cisco SD-WAN je technológia, ktorá využíva prístup SDN na vytvorenie a prevádzku siete WAN organizácie. Ide najmä o použitie takzvaných kontrolérov (softvérových prvkov), ktoré zabezpečujú centralizovanú orchestráciu a automatizovanú konfiguráciu všetkých komponentov riešenia. Na rozdiel od kanonického SDN (štýl Clean Slate), Cisco SD-WAN používa niekoľko typov radičov, z ktorých každý plní svoju vlastnú úlohu – bolo to urobené zámerne, aby sa zabezpečila lepšia škálovateľnosť a georedundancia.

V prípade SD-WAN zostáva úloha využitia ľubovoľných typov kanálov a zabezpečenia prevádzky podnikových aplikácií rovnaká, no zároveň sa rozširujú požiadavky na automatizáciu, škálovateľnosť, bezpečnosť a flexibilitu takejto siete.

Diskusia o rozdieloch

Ak teraz začneme analyzovať rozdiely medzi týmito technológiami, budú spadať do jednej z nasledujúcich kategórií:

• Architektonické rozdiely – ako sú funkcie rozdelené medzi rôzne komponenty riešenia, ako je organizovaná interakcia takýchto komponentov a ako to ovplyvňuje možnosti a flexibilitu technológie?
• Funkčnosť – čo dokáže jedna technológia, čo iná nedokáže? A je to naozaj také dôležité?

Aké sú architektonické rozdiely a sú dôležité?

Každá z týchto technológií má mnoho „pohyblivých častí“, ktoré sa líšia nielen svojimi úlohami, ale aj tým, ako na seba navzájom pôsobia. Ako dobre sú tieto princípy premyslené a všeobecná mechanika riešenia priamo určuje jeho škálovateľnosť, odolnosť voči chybám a celkovú efektivitu.

Pozrime sa podrobnejšie na rôzne aspekty architektúry:

Dátová rovina – časť riešenia zodpovedná za prenos užívateľskej prevádzky medzi zdrojom a príjemcom. DMVPN a SD-WAN sú implementované vo všeobecnosti identicky na samotných smerovačoch na základe viacbodových GRE tunelov. Rozdiel je v tom, ako sa vytvorí potrebný súbor parametrov pre tieto tunely:

• в DMVPN/PfR je výlučne dvojúrovňová hierarchia uzlov s topológiou Star alebo Hub-n-Spoke. Vyžaduje sa statická konfigurácia Hubu a statické prepojenie Spoke s Hubom, ako aj interakcia cez protokol NHRP na vytvorenie konektivity dátovej roviny. v dôsledku toho výrazne sťažiť zmeny v Hubesúvisiace napríklad so zmenou/pripojením nových WAN kanálov alebo zmenou parametrov existujúcich.
• в SD WAN je plne dynamický model na zisťovanie parametrov inštalovaných tunelov na báze control-plane (OMP protokol) a orchestration-plane (interakcia s radičom vBond pre detekciu radiča a úlohy NAT traversal). V tomto prípade je možné použiť akékoľvek superponované topológie, vrátane hierarchických. V rámci zavedenej topológie prekrývacieho tunela je možná flexibilná konfigurácia logickej topológie v každej jednotlivej VPN (VRF).

Riadiaca rovina – funkcie výmeny, filtrovania a úpravy smerovacích a iných informácií medzi komponentmi riešenia.

• в DMVPN/PfR – vykonáva sa iba medzi smerovačmi Hub a Spoke. Priama výmena smerovacích informácií medzi Spokes nie je možná. v dôsledku toho Bez fungujúceho Hubu nemôže fungovať riadiaca rovina a dátová rovina, ktorý na Hub kladie dodatočné požiadavky na vysokú dostupnosť, ktoré nie je možné vždy splniť.
• в SD WAN – control-plane sa nikdy neuskutočňuje priamo medzi smerovačmi – interakcia prebieha na základe protokolu OMP a nevyhnutne sa uskutočňuje prostredníctvom samostatného špecializovaného typu vSmart radiča, ktorý poskytuje možnosť vyvažovania, georezervácie a centralizovaného riadenia zaťaženie signálu. Ďalšou vlastnosťou protokolu OMP je jeho výrazná odolnosť voči stratám a nezávislosť od rýchlosti komunikačného kanála s radičmi (samozrejme v rozumných medziach). Čo rovnako úspešne umožňuje umiestniť ovládače SD-WAN do verejných alebo súkromných cloudov s prístupom cez internet.

Politická rovina – časť riešenia zodpovedná za definovanie, distribúciu a aplikáciu politík riadenia prevádzky v distribuovanej sieti.

• DMVPN – je efektívne obmedzená politikami kvality služieb (QoS) nakonfigurovanými individuálne na každom smerovači prostredníctvom šablón CLI alebo Prime Infrastructure.
• DMVPN/PfR – Politiky PfR sa vytvárajú na centralizovanom smerovači Master Controller (MC) cez CLI a potom sa automaticky distribuujú do pobočiek MC. V tomto prípade sa použijú rovnaké cesty prenosu politiky ako pre dátovú rovinu. Neexistuje žiadna možnosť oddeliť výmenu politík, informácie o smerovaní a údaje o používateľoch. Šírenie politiky vyžaduje prítomnosť IP konektivity medzi Hub a Spoke. V tomto prípade možno funkciu MC v prípade potreby skombinovať s routerom DMVPN. Je možné (ale nevyžaduje sa) použiť šablóny Prime Infrastructure na centralizované generovanie politiky. Dôležitou vlastnosťou je, že politika sa vytvára globálne v celej sieti rovnakým spôsobom - Jednotlivé politiky pre jednotlivé segmenty nie sú podporované.
• SD WAN – riadenie prevádzky a politika kvality služieb sa určuje centrálne cez grafické rozhranie Cisco vManage, dostupné aj cez internet (v prípade potreby). Sú distribuované cez signalizačné kanály priamo alebo nepriamo cez ovládače vSmart (v závislosti od typu politiky). Nie sú závislé na konektivite dátovej roviny medzi smerovačmi, pretože použiť všetky dostupné dopravné cesty medzi radičom a smerovačom.

  Pre rôzne segmenty siete je možné flexibilne formulovať rôzne politiky – rozsah politiky je určený mnohými jedinečnými identifikátormi poskytnutými v riešení – číslo pobočky, typ aplikácie, smer prevádzky atď.

Orchestračné lietadlo – mechanizmy, ktoré umožňujú komponentom navzájom sa dynamicky zisťovať, konfigurovať a koordinovať následné interakcie.

• в DMVPN/PfR Vzájomné zisťovanie medzi smerovačmi je založené na statickej konfigurácii zariadení Hub a zodpovedajúcej konfigurácii zariadení Spoke. Dynamické zisťovanie sa vyskytuje iba pre Spoke, ktorý hlási svoje parametre pripojenia k rozbočovaču do zariadenia, ktoré je zase vopred nakonfigurované pomocou Spoke. Bez IP konektivity medzi Spoke a aspoň jedným Hubom nie je možné vytvoriť dátovú rovinu ani riadiacu rovinu.
• в SD WAN k orchestrácii komponentov riešenia dochádza pomocou radiča vBond, s ktorým musí každý komponent (smerovače a radiče vManage/vSmart) najprv nadviazať IP konektivitu.

  Komponenty spočiatku nevedia o vzájomných parametroch pripojenia - na to potrebujú sprostredkovateľský orchestrátor vBond. Všeobecný princíp je nasledovný - každý komponent sa v počiatočnej fáze dozvie (automaticky alebo staticky) iba o parametroch pripojenia k vBond, potom vBond informuje router o ovládačoch vManage a vSmart (objavených skôr), čo umožňuje automaticky nadviazať všetky potrebné signalizačné spojenia.

  Ďalším krokom je, aby sa nový smerovač dozvedel o ostatných smerovačoch v sieti prostredníctvom komunikácie OMP s ovládačom vSmart. Router tak, bez toho, aby na začiatku vôbec niečo vedel o parametroch siete, dokáže plne automaticky detekovať a pripojiť sa k radičom a následne aj automaticky detekovať a vytvárať konektivitu s inými smerovačmi. V tomto prípade sú parametre pripojenia všetkých komponentov spočiatku neznáme a môžu sa počas prevádzky meniť.

Riadiaca rovina – časť riešenia, ktorá poskytuje centralizovanú správu a monitorovanie.

• DMVPN/PfR – neposkytuje sa žiadne špecializované riešenie na úrovni riadenia. Na základnú automatizáciu a monitorovanie možno použiť produkty ako Cisco Prime Infrastructure. Každý smerovač má možnosť ovládania cez príkazový riadok CLI. Integrácia s externými systémami cez API nie je poskytovaná.
• SD WAN – všetka pravidelná interakcia a monitorovanie prebieha centrálne cez grafické rozhranie ovládača vManage. Všetky funkcie riešenia sú bez výnimky dostupné na konfiguráciu prostredníctvom vManage, ako aj prostredníctvom plne zdokumentovanej knižnice REST API.

  Všetky nastavenia siete SD-WAN v vManage sa skladajú z dvoch hlavných konštrukcií – vytvorenie šablón zariadení (Device Template) a vytvorenie politiky, ktorá určuje logiku sieťovej prevádzky a spracovania prevádzky. Zároveň vManage, vysielajúci politiku vygenerovanú správcom, automaticky vyberá, ktoré zmeny a na ktorých jednotlivých zariadeniach/ovládačoch je potrebné vykonať, čo výrazne zvyšuje efektivitu a škálovateľnosť riešenia.

  Prostredníctvom rozhrania vManage je dostupná nielen konfigurácia riešenia Cisco SD-WAN, ale aj plné sledovanie stavu všetkých komponentov riešenia, až po aktuálny stav metrík pre jednotlivé tunely a štatistiky o využívaní rôznych aplikácií. na základe analýzy DPI.

  Napriek centralizácii interakcie majú všetky komponenty (ovládače a smerovače) aj plne funkčný príkazový riadok CLI, ktorý je potrebný v štádiu implementácie alebo v prípade núdze pre lokálnu diagnostiku. V normálnom režime (ak je medzi komponentmi signálny kanál) na smerovačoch je príkazový riadok dostupný len na diagnostiku a nie je dostupný na vykonávanie lokálnych zmien, čo zaručuje lokálnu bezpečnosť a jediným zdrojom zmien v takejto sieti je vManage.

Integrovaná bezpečnosť – tu by sme sa mali baviť nielen o ochrane užívateľských dát pri prenose cez otvorené kanály, ale aj o celkovej bezpečnosti WAN siete na základe zvolenej technológie.

• в DMVPN/PfR Je možné šifrovať užívateľské dáta a signalizačné protokoly. Pri použití určitých modelov smerovačov sú navyše dostupné funkcie brány firewall s kontrolou prevádzky, IPS/IDS. Pomocou VRF je možné segmentovať pobočkové siete. Je možné autentifikovať (jednofaktorové) riadiace protokoly.

  V tomto prípade je vzdialený router štandardne považovaný za dôveryhodný prvok siete – t.j. nie sú predpokladané ani zohľadnené prípady fyzického kompromitovania jednotlivých zariadení a možnosti neoprávneného prístupu k nim, chýba dvojfaktorová autentifikácia komponentov riešenia, ktorá v prípade geograficky distribuovanej siete môže niesť významné dodatočné riziká.

• в SD WAN analogicky s DMVPN je zabezpečená možnosť šifrovania používateľských údajov, avšak s výrazne rozšírenou sieťovou bezpečnosťou a funkciami segmentácie L3/VRF (firewall, IPS/IDS, filtrovanie URL, filtrovanie DNS, AMP/TG, SASE, TLS/SSL proxy, atď.) d.). Výmena šifrovacích kľúčov sa zároveň uskutočňuje efektívnejšie prostredníctvom radičov vSmart (a nie priamo) prostredníctvom vopred vytvorených signalizačných kanálov chránených šifrovaním DTLS/TLS na základe bezpečnostných certifikátov. Čo zase zaručuje bezpečnosť takýchto búrz a zabezpečuje lepšiu škálovateľnosť riešenia až pre desiatky tisíc zariadení v rovnakej sieti.

  Všetky signalizačné spojenia (kontrolér-kontrolér, kontrolér-router) sú tiež chránené na základe DTLS/TLS. Routery sú pri výrobe vybavené bezpečnostnými certifikátmi s možnosťou výmeny/rozšírenia. Dvojfaktorová autentifikácia sa dosiahne povinným a súčasným splnením dvoch podmienok pre fungovanie smerovača/radiča v sieti SD-WAN:

  • Platný bezpečnostný certifikát
  • Explicitné a vedomé zaradenie každého komponentu administrátorom do „bieleho“ zoznamu povolených zariadení.

Funkčné rozdiely medzi SD-WAN a DMVPN/PfR

Keď prejdeme k diskusii o funkčných rozdieloch, treba poznamenať, že mnohé z nich sú pokračovaním architektonických - nie je žiadnym tajomstvom, že pri vytváraní architektúry riešenia vývojári vychádzajú z možností, ktoré chcú nakoniec získať. Pozrime sa na najvýraznejšie rozdiely medzi týmito dvoma technológiami.

AppQ (Application Quality) – funkcie na zabezpečenie kvality prenosu prevádzky obchodných aplikácií

Kľúčové funkcie uvažovaných technológií sú zamerané na čo najväčšie zlepšenie používateľského zážitku pri používaní kritických obchodných aplikácií v distribuovanej sieti. To je dôležité najmä v podmienkach, keď časť infraštruktúry nie je riadená IT alebo dokonca nezaručuje úspešný prenos dát.

DMVPN sama osebe takéto mechanizmy neposkytuje. Najlepšie, čo sa dá v klasickej sieti DMVPN urobiť, je klasifikovať odchádzajúci prenos podľa aplikácie a uprednostňovať ho pri prenose smerom ku kanálu WAN. Výber tunela DMVPN je v tomto prípade určený iba jeho dostupnosťou a výsledkom činnosti smerovacích protokolov. Zároveň sa neberú do úvahy úplný stav cesty/tunela a jeho možné čiastočné zhoršenie z hľadiska kľúčových metrík, ktoré sú významné pre sieťové aplikácie – oneskorenie, kolísanie oneskorenia (jitter) a straty (% ). V tomto smere priame porovnávanie klasického DMVPN s SD-WAN z hľadiska riešenia problémov AppQ stráca akýkoľvek význam – DMVPN tento problém vyriešiť nedokáže. Keď do tohto kontextu pridáte technológiu Cisco Performance Routing (PfR), situácia sa zmení a porovnanie s Cisco SD-WAN bude mať väčší význam.

Predtým, než budeme diskutovať o rozdieloch, tu je rýchly pohľad na to, ako sú technológie podobné. Takže obe technológie:

• majú mechanizmus, ktorý vám umožňuje dynamicky hodnotiť stav každého vytvoreného tunela z hľadiska určitých metrík – minimálne oneskorenie, odchýlka oneskorenia a strata paketov (%)
• používať špecifickú sadu nástrojov na vytváranie, distribúciu a uplatňovanie pravidiel (politík) riadenia dopravy s prihliadnutím na výsledky merania stavu kľúčových metrík tunelov.
• klasifikovať prevádzku aplikácií na úrovniach L3-L4 (DSCP) modelu OSI alebo podľa podpisov aplikácií L7 na základe mechanizmov DPI zabudovaných do smerovača
• Pre významné aplikácie vám umožňujú určiť prijateľné prahové hodnoty metrík, štandardné pravidlá prenosu prevádzky a pravidlá pre presmerovanie prenosu pri prekročení prahových hodnôt.
• Pri zapuzdrení prevádzky v GRE/IPSec používajú už zavedený priemyselný mechanizmus na prenos interných značiek DSCP do externej hlavičky paketu GRE/IPSEC, čo umožňuje synchronizáciu politík QoS organizácie a telekomunikačného operátora (ak existuje vhodná SLA) .

Ako sa koncové metriky SD-WAN a DMVPN/PfR líšia?

DMVPN/PfR

• Na vyhodnotenie štandardných metrík zdravia tunela sa používajú aktívne aj pasívne softvérové ​​senzory (sondy). Aktívne sú založené na návštevnosti používateľov, pasívne takúto prevádzku emulujú (v jej neprítomnosti).
• Neexistuje žiadne jemné ladenie časovačov a podmienok detekcie degradácie - algoritmus je pevný.
• Okrem toho je k dispozícii meranie použitej šírky pásma vo výstupnom smere. Čo dodáva DMVPN/PfR ďalšiu flexibilitu riadenia dopravy.
• Niektoré mechanizmy PfR sa zároveň pri prekročení metrík spoliehajú na signalizáciu spätnej väzby vo forme špeciálnych správ TCA (Threshold Crossing Alert), ktoré musia prísť od príjemcu návštevnosti smerom k zdroju, čo zase predpokladá, že stav merané kanály by mali byť aspoň dostatočné na prenos takýchto správ TCA. Čo vo väčšine prípadov nie je problém, ale samozrejme to nemožno zaručiť.

SD WAN

• Na komplexné vyhodnotenie štandardných metrík stavu tunela sa v režime odozvy používa protokol BFD. V tomto prípade nie je potrebná špeciálna spätná väzba vo forme TCA alebo podobných správ - je zachovaná izolácia domén zlyhania. Na vyhodnotenie stavu tunela tiež nevyžaduje prítomnosť používateľskej prevádzky.
• Je možné jemne doladiť časovače BFD na reguláciu rýchlosti odozvy a citlivosti algoritmu na degradáciu komunikačného kanála z niekoľkých sekúnd na minúty.

  

• V čase písania tohto článku je v každom tuneli iba jedna relácia BFD. To potenciálne vytvára menšiu granularitu v analýze stavu tunela. V skutočnosti sa to môže stať obmedzením len vtedy, ak používate WAN pripojenie založené na MPLS L2/L3 VPN s dohodnutou QoS SLA – ak sa DSCP označenie prevádzky BFD (po zapuzdrení do IPSec/GRE) zhoduje s frontom s vysokou prioritou v siete telekomunikačného operátora, potom to môže ovplyvniť presnosť a rýchlosť detekcie zhoršenia pre prevádzku s nízkou prioritou. Zároveň je možné zmeniť predvolené označovanie BFD, aby sa znížilo riziko takýchto situácií. V budúcich verziách softvéru Cisco SD-WAN sa očakávajú precíznejšie nastavenia BFD, ako aj možnosť spustiť viacero relácií BFD v rámci jedného tunela s individuálnymi hodnotami DSCP (pre rôzne aplikácie).
• BFD vám navyše umožňuje odhadnúť maximálnu veľkosť paketu, ktorý je možné preniesť cez konkrétny tunel bez fragmentácie. To umožňuje SD-WAN dynamicky upravovať parametre, ako sú MTU a TCP MSS Adjust, aby sa čo najlepšie využila dostupná šírka pásma na každom prepojení.
• V SD-WAN je k dispozícii aj možnosť synchronizácie QoS od telekomunikačných operátorov, a to nielen na základe polí L3 DSCP, ale aj na základe hodnôt L2 CoS, ktoré môžu byť automaticky generované v pobočkovej sieti špecializovanými zariadeniami - napríklad IP telefónov

Ako sa líšia možnosti, metódy definovania a aplikácie politík AppQ?

Pravidlá DMVPN/PfR:

• Definované na smerovačoch centrálnej pobočky prostredníctvom príkazového riadka CLI alebo konfiguračných šablón CLI. Generovanie šablón CLI vyžaduje prípravu a znalosť syntaxe politiky.

  

• Definované globálne bez možnosti individuálnej konfigurácie/zmeny podľa požiadaviek jednotlivých segmentov siete.
• V grafickom rozhraní nie je k dispozícii interaktívne generovanie politík.
• Sledovanie zmien, dedičnosť a vytváranie viacerých verzií politík na rýchle prepínanie nie je k dispozícii.
• Automaticky distribuované do smerovačov vzdialených pobočiek. V tomto prípade sa používajú rovnaké komunikačné kanály ako na prenos užívateľských dát. Ak medzi centrálnou a vzdialenou pobočkou neexistuje komunikačný kanál, distribúcia/zmena politík nie je možná.
• Používajú sa na každom smerovači a v prípade potreby upravujú výsledok štandardných smerovacích protokolov s vyššou prioritou.
• V prípadoch, keď všetky prepojenia WAN pobočiek zaznamenajú výraznú stratu prevádzky, neboli poskytnuté žiadne kompenzačné mechanizmy.

Zásady SD-WAN:

• Definované v GUI vManage prostredníctvom sprievodcu interaktívnou šablónou.
• Podporuje vytváranie viacerých politík, kopírovanie, dedenie, prepínanie medzi politikami v reálnom čase.
• Podporuje individuálne nastavenia politiky pre rôzne segmenty siete (vetvy)
• Sú distribuované pomocou akéhokoľvek dostupného signálového kanála medzi radičom a routerom a/alebo vSmart – nezávisia priamo od konektivity dátovej roviny medzi routermi. To si samozrejme vyžaduje IP konektivitu medzi samotným routerom a ovládačmi.

  

• Pre prípady, keď všetky dostupné pobočky pobočky zaznamenajú významné straty dát prekračujúce prijateľné prahové hodnoty pre kritické aplikácie, je možné použiť ďalšie mechanizmy, ktoré zvyšujú spoľahlivosť prenosu:
  • FEC (Forward Error Correction) – používa špeciálny redundantný kódovací algoritmus. Pri prenose kritickej prevádzky cez kanály s významným percentom strát možno automaticky aktivovať FEC a v prípade potreby umožňuje obnoviť stratenú časť údajov. To mierne zvyšuje použitú prenosovú šírku pásma, ale výrazne zlepšuje spoľahlivosť.

    

  • Duplikácia dátových tokov – Okrem FEC môže politika zabezpečiť automatickú duplikáciu prevádzky vybraných aplikácií v prípade ešte závažnejších strát, ktoré FEC nedokáže kompenzovať. V tomto prípade budú vybrané dáta prenesené cez všetky tunely smerom k prijímacej vetve s následnou deduplikáciou (vynechaním extra kópií paketov). Mechanizmus výrazne zvyšuje využitie kanála, ale tiež výrazne zvyšuje spoľahlivosť prenosu.

Možnosti Cisco SD-WAN, bez priamych analógov v DMVPN/PfR

Architektúra riešenia Cisco SD-WAN v niektorých prípadoch umožňuje získať schopnosti, ktoré sú buď extrémne náročné na implementáciu v rámci DMVPN/PfR, alebo sú nepraktické kvôli požadovaným mzdovým nákladom, alebo sú úplne nemožné. Pozrime sa na najzaujímavejšie z nich:

Dopravné inžinierstvo (TE)

TE zahŕňa mechanizmy, ktoré umožňujú prevádzke odbočiť zo štandardnej cesty vytvorenej smerovacími protokolmi. TE sa často používa na zabezpečenie vysokej dostupnosti sieťových služieb prostredníctvom schopnosti rýchlo a/alebo proaktívne preniesť kritickú prevádzku na alternatívnu (nesúvislú) prenosovú cestu, aby sa zabezpečila lepšia kvalita služby alebo rýchlosť obnovy v prípade zlyhania. na hlavnej ceste.

Náročnosť implementácie TE spočíva v potrebe vopred vypočítať a rezervovať (skontrolovať) alternatívnu cestu. V MPLS sieťach telekomunikačných operátorov je tento problém riešený pomocou technológií ako MPLS Traffic-Engineering s rozšíreniami o protokoly IGP a protokol RSVP. V poslednej dobe je čoraz populárnejšia aj technológia Segment Routing, ktorá je viac optimalizovaná pre centralizovanú konfiguráciu a orchestráciu. V klasických sieťach WAN tieto technológie zvyčajne nie sú zastúpené alebo sú obmedzené na použitie mechanizmov hop-by-hop, ako je Policy-Based Routing (PBR), ktoré sú schopné rozvetvovať prevádzku, ale implementujú to na každom smerovači samostatne - bez toho, aby zohľadňovať celkový stav siete alebo výsledok PBR v predchádzajúcich alebo nasledujúcich krokoch. Výsledok použitia týchto možností TE je sklamaním - MPLS TE sa vzhľadom na zložitosť konfigurácie a prevádzky používa spravidla iba v najkritickejšej časti siete (jadro) a PBR sa používa na jednotlivých smerovačoch bez schopnosť vytvárať jednotnú politiku PBR pre celú sieť. Je zrejmé, že to platí aj pre siete založené na DMVPN.

SD-WAN v tomto smere ponúka oveľa elegantnejšie riešenie, ktoré sa nielen ľahko konfiguruje, ale aj oveľa lepšie škáluje. Je to výsledok použitých architektúr riadiacej roviny a politickej roviny. Implementácia politickej roviny v SD-WAN vám umožňuje centrálne definovať politiku TE – aká prevádzka je zaujímavá? pre ktoré VPN? Cez ktoré uzly/tunely je potrebné alebo naopak zakázané vytvoriť alternatívnu trasu? Na druhej strane centralizácia správy riadiacej roviny založená na ovládačoch vSmart vám umožňuje upravovať výsledky smerovania bez toho, aby ste sa museli uchyľovať k nastaveniam jednotlivých zariadení – smerovače už vidia iba výsledok logiky, ktorá bola vygenerovaná v rozhraní vManage a prenesená na použitie do vSmart.

Reťazenie služieb

Vytváranie servisných reťazcov je v klasickom smerovaní ešte náročnejšou úlohou ako už popísaný mechanizmus Traffic-Engineering. V tomto prípade je skutočne potrebné nielen vytvoriť špeciálnu trasu pre konkrétnu sieťovú aplikáciu, ale tiež zabezpečiť schopnosť odstrániť prevádzku zo siete na určitých (alebo všetkých) uzloch siete SD-WAN na spracovanie špeciálna aplikácia alebo služba (Firewall, Balancing, Caching, Inspection traffic atď.). Zároveň je potrebné mať možnosť kontrolovať stav týchto externých služieb, aby sa predišlo čiernym dierkam, a tiež sú potrebné mechanizmy, ktoré umožnia takéto externé služby rovnakého typu umiestniť do rôznych geografických lokalít. so schopnosťou siete automaticky vybrať najoptimálnejší obslužný uzol na spracovanie prevádzky konkrétnej pobočky. V prípade Cisco SD-WAN je to celkom jednoduché dosiahnuť vytvorením vhodnej centralizovanej politiky, ktorá „zlepí“ všetky aspekty cieľového servisného reťazca do jedného celku a automaticky zmení dátovú rovinu a logiku riadiacej roviny len tam, kde a keď je to potrebné.

Schopnosť vytvárať geodistribuované spracovanie prevádzky vybraných typov aplikácií v určitom poradí na špecializovaných (ale nesúvisiacich so samotnou sieťou SD-WAN) zariadeniach je azda najjasnejšou demonštráciou výhod Cisco SD-WAN oproti klasickým technológie a dokonca aj niektoré alternatívne SD riešenia -WAN od iných výrobcov.

Výsledok?

Je zrejmé, že DMVPN (s alebo bez smerovania výkonu) aj Cisco SD-WAN vyriešiť veľmi podobné problémy vo vzťahu k distribuovanej sieti WAN organizácie. Zároveň výrazné architektonické a funkčné rozdiely v technológii Cisco SD-WAN vedú k procesu riešenia týchto problémov na inú kvalitatívnu úroveň. Aby sme to zhrnuli, môžeme si všimnúť nasledujúce významné rozdiely medzi technológiami SD-WAN a DMVPN/PfR:

• DMVPN/PfR vo všeobecnosti používajú na budovanie overlay VPN sietí overené technológie a z hľadiska dátovej roviny sú podobné modernejšej technológii SD-WAN, existuje však množstvo obmedzení v podobe povinnej statickej konfigurácie. smerovačov a výber topológií je obmedzený na Hub-n-Spoke. Na druhej strane, DMVPN/PfR má niektoré funkcie, ktoré zatiaľ nie sú dostupné v rámci SD-WAN (hovoríme o BFD pre jednotlivé aplikácie).
• V rámci riadiacej roviny sa technológie zásadne líšia. Berúc do úvahy centralizované spracovanie signalizačných protokolov, SD-WAN umožňuje najmä výrazne zúžiť poruchové domény a „oddeliť“ proces prenosu užívateľskej prevádzky od signalizačnej interakcie - dočasná nedostupnosť radičov nemá vplyv na schopnosť prenášať užívateľskú prevádzku . Dočasná nedostupnosť ktorejkoľvek pobočky (vrátane centrálnej) zároveň nijako neovplyvňuje schopnosť ostatných pobočiek vzájomnej interakcie a kontrolórov.
• Architektúra pre tvorbu a aplikáciu pravidiel riadenia prevádzky v prípade SD-WAN je tiež lepšia ako v DMVPN/PfR - geo-rezervácia je oveľa lepšie implementovaná, chýba spojenie s Hubom, existuje viac príležitostí na jemné -tuning policy, zoznam implementovaných scenárov riadenia dopravy je tiež oveľa väčší.
• Proces orchestrácie riešenia je tiež výrazne odlišný. DMVPN predpokladá prítomnosť predtým známych parametrov, ktoré sa musia nejako prejaviť v konfigurácii, čo do istej miery obmedzuje flexibilitu riešenia a možnosť dynamických zmien. SD-WAN je zase založený na paradigme, že v počiatočnom momente pripojenia router „nevie nič“ o svojich radičoch, ale vie „koho sa môžete opýtať“ - to stačí nielen na automatické nadviazanie komunikácie s regulátorov, ale aj k automatickému vytváraniu plne prepojenej topológie dátovej roviny, ktorú je možné následne flexibilne konfigurovať/zmeniť pomocou politík.
• Pokiaľ ide o centralizovanú správu, automatizáciu a monitorovanie, očakáva sa, že SD-WAN prekoná možnosti DMVPN/PfR, ktoré sa vyvinuli z klasických technológií a viac sa spoliehajú na príkazový riadok CLI a používanie systémov NMS založených na šablónach.
• V SD-WAN v porovnaní s DMVPN dosiahli bezpečnostné požiadavky inú kvalitatívnu úroveň. Hlavnými princípmi sú nulová dôvera, škálovateľnosť a dvojfaktorová autentifikácia.

Tieto jednoduché závery môžu vyvolať nesprávny dojem, že vytvorenie siete založenej na DMVPN/PfR dnes stratilo všetku relevanciu. To samozrejme nie je úplne pravda. Napríklad v prípadoch, keď sieť používa veľa zastaraných zariadení a neexistuje spôsob, ako ich nahradiť, DMVPN vám umožní kombinovať „staré“ a „nové“ zariadenia do jednej geograficky distribuovanej siete s mnohými opísanými výhodami. vyššie.

Na druhej strane treba pripomenúť, že všetky súčasné podnikové smerovače Cisco založené na IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) dnes podporujú akýkoľvek prevádzkový režim – ako klasické smerovanie, tak aj DMVPN a SD-WAN – výber je určený aktuálnymi potrebami a pochopením, že kedykoľvek môžete s použitím rovnakého vybavenia začať smerovať k pokročilejšej technológii.

Zdroj: hab.com