Bo Cisco SD-WAN odrezal vejo, na kateri sedi DMVPN?

Od avgusta 2017, ko je Cisco prevzel Viptelo, je glavna ponujena tehnologija za organizacijo porazdeljenih omrežij podjetij postala Cisco SD-WAN. V zadnjih 3 letih je šla tehnologija SD-WAN skozi številne spremembe, tako kvalitativne kot kvantitativne. Tako se je funkcionalnost močno razširila in pojavila se je podpora na klasičnih usmerjevalnikih serije Cisco ISR 1000, ISR 4000, ASR 1000 in Virtual CSR 1000v. Obenem se številne stranke in partnerji Cisca še naprej sprašujejo: kakšne so razlike med Cisco SD-WAN in že poznanimi pristopi, ki temeljijo na tehnologijah kot npr Cisco DMVPN и Cisco Performance Routing in kako pomembne so te razlike?

Tukaj moramo takoj opozoriti, da je pred pojavom SD-WAN v portfelju Cisco DMVPN skupaj s PfR tvoril ključni del arhitekture. Cisco IWAN (Intelligent WAN), ki je bil predhodnik polne tehnologije SD-WAN. Kljub splošni podobnosti nalog, ki se rešujejo, in metod za njihovo reševanje, IWAN nikoli ni prejel ravni avtomatizacije, prilagodljivosti in razširljivosti, potrebne za SD-WAN, in sčasoma se je razvoj IWAN znatno zmanjšal. Hkrati tehnologije, ki sestavljajo IWAN, niso izginile in številne stranke jih še naprej uspešno uporabljajo, tudi na sodobni opremi. Posledično je nastala zanimiva situacija - ista oprema Cisco omogoča izbiro najprimernejše tehnologije WAN (klasične, DMVPN+PfR ali SD-WAN) v skladu z zahtevami in pričakovanji strank.

Članek ne namerava podrobno analizirati vseh značilnosti tehnologij Cisco SD-WAN in DMVPN (z ali brez usmerjanja zmogljivosti) - za to je na voljo ogromno dokumentov in gradiv. Glavna naloga je poskusiti ovrednotiti ključne razlike med tema tehnologijama. Toda preden preidemo na razpravo o teh razlikah, se na kratko spomnimo samih tehnologij.

Kaj je Cisco DMVPN in zakaj je potreben?

Cisco DMVPN rešuje problem dinamične (= razširljive) povezave oddaljenega podružničnega omrežja z omrežjem centrale podjetja pri uporabi poljubnih vrst komunikacijskih kanalov, vključno z internetom (= s šifriranjem komunikacijskega kanala). Tehnično je to realizirano z ustvarjanjem virtualiziranega prekrivnega omrežja razreda L3 VPN v načinu od točke do več točk z logično topologijo tipa "Star" (Hub-n-Spoke). Da bi to dosegel, DMVPN uporablja kombinacijo naslednjih tehnologij:

• IP usmerjanje
• Večtočkovni tuneli GRE (mGRE)
• Protokol razrešitve naslednjega skoka (NHRP)
• Kripto profili IPSec

Katere so glavne prednosti Cisco DMVPN v primerjavi s klasičnim usmerjanjem z uporabo kanalov MPLS VPN?

• Za ustvarjanje medpanožnega omrežja je možno uporabiti poljubne komunikacijske kanale – primerno je vse, kar lahko omogoča IP povezljivost med poslovalnicami, medtem ko bo promet šifriran (kjer je potrebno) in uravnotežen (kjer je to mogoče)
• Popolnoma povezana topologija med vejami se samodejno oblikuje. Hkrati obstajajo statični predori med centralno in oddaljenimi vejami ter dinamični predori na zahtevo med oddaljenimi vejami (če je promet)
• Usmerjevalniki centralne in oddaljene podružnice imajo enako konfiguracijo do IP naslovov vmesnikov. Z uporabo mGRE ni potrebe po individualni konfiguraciji na desetine, stotine ali celo tisoče tunelov. Kot rezultat, spodobna razširljivost s pravo zasnovo.

Kaj je Cisco Performance Routing in zakaj je potrebno?

Pri uporabi DMVPN v medpanožnem omrežju ostaja nerešeno eno izjemno pomembno vprašanje - kako dinamično oceniti stanje vsakega od tunelov DMVPN glede skladnosti z zahtevami prometa, ki je kritičen za našo organizacijo, in spet na podlagi takšne ocene dinamično narediti odločitev o preusmeritvi? Dejstvo je, da se DMVPN v tem delu malo razlikuje od klasičnega usmerjanja – najbolje, kar lahko storite, je, da konfigurirate mehanizme QoS, ki vam bodo omogočili prioritizacijo prometa v odhodni smeri, nikakor pa ne morejo upoštevati stanja celotno pot naenkrat.

In kaj storiti, če kanal degradira delno in ne v celoti - kako to zaznati in ovrednotiti? Sam DMVPN tega ne more narediti. Glede na to, da lahko kanali, ki povezujejo podružnice, potekajo prek popolnoma različnih telekomunikacijskih operaterjev, ki uporabljajo popolnoma različne tehnologije, postane ta naloga izjemno netrivialna. In tu na pomoč priskoči tehnologija Cisco Performance Routing, ki je do takrat že šla skozi več stopenj razvoja.

Naloga Cisco Performance Routing (v nadaljevanju PfR) se zmanjša na merjenje stanja poti (tunelov) prometa na podlagi ključnih metrik, pomembnih za omrežne aplikacije – zakasnitev, variacija zakasnitve (tresenje) in izguba paketov (v odstotkih). Poleg tega je mogoče izmeriti uporabljeno pasovno širino. Te meritve se izvajajo čim bližje realnemu času in upravičeno, rezultat teh meritev pa omogoča usmerjevalniku, ki uporablja PfR, da dinamično sprejema odločitve o potrebi po spremembi usmerjanja te ali one vrste prometa.

Tako lahko nalogo kombinacije DMVPN/PfR na kratko opišemo takole:

• Stranki dovoli uporabo katerega koli komunikacijskega kanala v omrežju WAN
• Zagotovite najvišjo možno kakovost kritičnih aplikacij na teh kanalih

Kaj je Cisco SD-WAN?

Cisco SD-WAN je tehnologija, ki uporablja pristop SDN za ustvarjanje in upravljanje omrežja WAN organizacije. To predvsem pomeni uporabo tako imenovanih krmilnikov (programskih elementov), ​​ki zagotavljajo centralizirano orkestracijo in avtomatsko konfiguracijo vseh komponent rešitve. Za razliko od kanoničnega sloga SDN (Clean Slate style) Cisco SD-WAN uporablja več vrst krmilnikov, od katerih vsak opravlja svojo vlogo – to je bilo storjeno namenoma, da se zagotovi boljša razširljivost in geo-redundanca.

V primeru SD-WAN naloga uporabe vseh vrst kanalov in zagotavljanja delovanja poslovnih aplikacij ostaja enaka, hkrati pa se širijo zahteve po avtomatizaciji, razširljivosti, varnosti in fleksibilnosti takšnega omrežja.

Razprava o razlikah

Če zdaj začnemo analizirati razlike med tema tehnologijama, bodo spadale v eno od naslednjih kategorij:

• Arhitekturne razlike - kako so funkcije porazdeljene po različnih komponentah rešitve, kako je organizirana interakcija teh komponent in kako to vpliva na zmogljivosti in prilagodljivost tehnologije?
• Funkcionalnost – kaj zmore ena tehnologija, česar druga ne more? In ali je to res tako pomembno?

Kakšne so arhitekturne razlike in ali so pomembne?

Vsaka od teh tehnologij ima veliko »gibljivih delov«, ki se razlikujejo ne le po svojih vlogah, ampak tudi po tem, kako medsebojno delujejo. Kako dobro so ta načela premišljena in splošna mehanika rešitve neposredno določajo njeno razširljivost, odpornost na napake in splošno učinkovitost.

Oglejmo si različne vidike arhitekture podrobneje:

Podatkovna ravnina – del rešitve, odgovoren za prenos uporabniškega prometa med virom in prejemnikom. DMVPN in SD-WAN sta implementirana na splošno identično na samih usmerjevalnikih, ki temeljijo na tunelih Multipoint GRE. Razlika je v tem, kako se oblikuje potreben nabor parametrov za te tunele:

• в DMVPN/PfR je izključno dvonivojska hierarhija vozlišč s topologijo Star ali Hub-n-Spoke. Potrebni sta statična konfiguracija zvezdišča in statična vezava Spoke na zvezdišče ter interakcija prek protokola NHRP za oblikovanje povezljivosti podatkovne ravnine. Posledično znatno otežiti spremembe v Hubupovezanih na primer s spreminjanjem/povezovanjem novih kanalov WAN ali spreminjanjem parametrov obstoječih.
• в SD WAN je popolnoma dinamičen model za zaznavanje parametrov nameščenih predorov, ki temelji na nadzorni ravnini (protokol OMP) in ravnini orkestracije (interakcija s krmilnikom vBond za zaznavanje krmilnika in naloge prehoda NAT). V tem primeru je mogoče uporabiti poljubne superponirane topologije, vključno s hierarhičnimi. Znotraj vzpostavljene prekrivne tunelske topologije je možna fleksibilna konfiguracija logične topologije v vsakem posameznem VPN(VRF).

Nadzorna ravnina – funkcije izmenjave, filtriranja in spreminjanja usmerjevalnih in drugih informacij med komponentami rešitve.

• в DMVPN/PfR – izvaja se samo med usmerjevalniki Hub in Spoke. Neposredna izmenjava informacij o usmerjanju med spoke ni mogoča. Posledično Brez delujočega vozlišča nadzorna in podatkovna ravnina ne moreta delovati, ki za Hub nalaga dodatne zahteve glede visoke razpoložljivosti, ki jih ni vedno mogoče izpolniti.
• в SD WAN – nadzorna ravnina se nikoli ne izvaja direktno med usmerjevalniki – interakcija poteka na osnovi protokola OMP in se nujno izvaja preko ločenega specializiranega tipa krmilnika vSmart, ki zagotavlja možnost uravnoteženja, geo-rezervacije in centraliziranega nadzora nad signalna obremenitev. Druga značilnost protokola OMP je njegova znatna odpornost na izgube in neodvisnost od hitrosti komunikacijskega kanala s krmilniki (seveda v razumnih mejah). Kar enako uspešno omogoča postavitev SD-WAN krmilnikov v javne ali zasebne oblake z dostopom preko interneta.

Politika letala – del rešitve, odgovoren za definiranje, distribucijo in uporabo politik upravljanja prometa v porazdeljenem omrežju.

• DMVPN – je učinkovito omejen s politikami kakovosti storitve (QoS), konfiguriranimi posamično na vsakem usmerjevalniku prek CLI ali predlog Prime Infrastructure.
• DMVPN/PfR – Politike PfR se oblikujejo na centraliziranem usmerjevalniku glavnega krmilnika (MC) prek CLI in se nato samodejno razdelijo podružnicam MC. V tem primeru se uporabijo iste poti prenosa pravilnika kot za podatkovno ravnino. Ni možnosti za ločitev izmenjave politik, informacij o usmerjanju in uporabniških podatkov. Širjenje pravilnika zahteva prisotnost povezave IP med zvezdiščem in priključkom. V tem primeru se lahko funkcija MC po potrebi kombinira z usmerjevalnikom DMVPN. Možno je (vendar ni obvezno) uporabiti predloge glavne infrastrukture za centralizirano ustvarjanje politik. Pomembna značilnost je, da se pravilnik oblikuje globalno v celotnem omrežju na enak način – Posamezni pravilniki za posamezne segmente niso podprti.
• SD WAN – politike upravljanja prometa in kakovosti storitev se določajo centralno preko grafičnega vmesnika Cisco vManage, dostopnega tudi preko interneta (po potrebi). Distribuirajo se po signalizacijskih kanalih neposredno ali posredno prek krmilnikov vSmart (odvisno od vrste politike). Niso odvisni od povezljivosti podatkovne ravnine med usmerjevalniki, ker uporabite vse razpoložljive prometne poti med krmilnikom in usmerjevalnikom.

  Za različne segmente omrežja je možno fleksibilno oblikovati različne politike – obseg politike je določen s številnimi edinstvenimi identifikatorji, ki jih ponuja rešitev – številka poslovalnice, vrsta aplikacije, smer prometa itd.

Letalo za orkestracijo – mehanizmi, ki komponentam omogočajo dinamično zaznavanje druga druge, konfiguracijo in usklajevanje poznejših interakcij.

• в DMVPN/PfR Vzajemno odkrivanje med usmerjevalniki temelji na statični konfiguraciji naprav Hub in ustrezni konfiguraciji naprav Spoke. Dinamično odkrivanje se zgodi samo za Spoke, ki sporoči svoje parametre povezave Hub v napravo, ta pa je vnaprej konfigurirana s Spokeom. Brez povezave IP med Spoke in vsaj enim vozliščem je nemogoče oblikovati podatkovno ravnino ali nadzorno ravnino.
• в SD WAN orkestracija komponent rešitve poteka z uporabo krmilnika vBond, s katerim mora vsaka komponenta (usmerjevalniki in krmilniki vManage/vSmart) najprej vzpostaviti IP povezljivost.

  Sprva komponente ne poznajo povezovalnih parametrov druga druge - za to potrebujejo posredniški orkestrator vBond. Splošno načelo je naslednje - vsaka komponenta se v začetni fazi uči (samodejno ali statično) le o parametrih povezave z vBond, nato vBond obvesti usmerjevalnik o krmilnikih vManage in vSmart (ki sta bila odkrita prej), kar omogoča samodejno vzpostavitev vse potrebne signalne povezave.

  Naslednji korak je, da novi usmerjevalnik spozna druge usmerjevalnike v omrežju prek komunikacije OMP s krmilnikom vSmart. Tako lahko usmerjevalnik, ne da bi na začetku sploh vedel karkoli o omrežnih parametrih, popolnoma samodejno zazna in se poveže s krmilniki ter nato samodejno zazna in vzpostavi povezljivost z drugimi usmerjevalniki. V tem primeru so parametri povezave vseh komponent na začetku neznani in se lahko med delovanjem spremenijo.

Upravljalna ravnina – del rešitve, ki omogoča centralizirano upravljanje in spremljanje.

• DMVPN/PfR – ni zagotovljena nobena specializirana rešitev ravnine upravljanja. Za osnovno avtomatizacijo in spremljanje je mogoče uporabiti izdelke, kot je Cisco Prime Infrastructure. Vsak usmerjevalnik je mogoče krmiliti prek ukazne vrstice CLI. Integracija z zunanjimi sistemi prek API-ja ni na voljo.
• SD WAN – vsa redna interakcija in spremljanje poteka centralno preko grafičnega vmesnika krmilnika vManage. Vse funkcije rešitve so brez izjeme na voljo za konfiguracijo prek vManage, kot tudi prek popolnoma dokumentirane knjižnice REST API.

  Vse nastavitve omrežja SD-WAN v vManage se zmanjšajo na dva glavna konstrukta - oblikovanje predlog naprav (Device Template) in oblikovanje pravilnika, ki določa logiko delovanja omrežja in obdelavo prometa. Hkrati vManage z oddajanjem pravilnika, ki ga generira skrbnik, samodejno izbere, katere spremembe in na katerih posameznih napravah/krmilnikih je potrebno izvesti, kar bistveno poveča učinkovitost in razširljivost rešitve.

  Prek vmesnika vManage ni na voljo le konfiguracija rešitve Cisco SD-WAN, ampak tudi popoln nadzor stanja vseh komponent rešitve, vse do trenutnega stanja metrik za posamezne tunele in statistike uporabe različnih aplikacij. na podlagi analize DPI.

  Kljub centralizirani interakciji imajo vse komponente (krmilniki in usmerjevalniki) tudi popolnoma delujočo ukazno vrstico CLI, ki je potrebna v fazi implementacije ali v nujnih primerih za lokalno diagnostiko. V običajnem načinu (če obstaja signalni kanal med komponentami) na usmerjevalnikih je ukazna vrstica na voljo samo za diagnostiko in ni na voljo za izvajanje lokalnih sprememb, kar zagotavlja lokalno varnost in je edini vir sprememb v takšnem omrežju vManage.

Integrirana varnost – tukaj ne smemo govoriti le o zaščiti uporabniških podatkov pri prenosu po odprtih kanalih, ampak tudi o splošni varnosti omrežja WAN na podlagi izbrane tehnologije.

• в DMVPN/PfR Možno je šifrirati uporabniške podatke in signalne protokole. Pri uporabi določenih modelov usmerjevalnikov so dodatno na voljo funkcije požarnega zidu s pregledom prometa, IPS/IDS. Omrežja podružnic je mogoče segmentirati z uporabo VRF. Možno je avtentikirati (enofaktorske) nadzorne protokole.

  V tem primeru se oddaljeni usmerjevalnik privzeto šteje za zaupanja vreden element omrežja - tj. primeri fizične ogroženosti posameznih naprav in možnosti nepooblaščenega dostopa do njih se ne predpostavljajo in ne upoštevajo, ni dvofaktorske avtentikacije komponent rešitve, ki je v primeru geografsko razpršenega omrežja lahko nosi znatna dodatna tveganja.

• в SD WAN po analogiji z DMVPN je zagotovljena možnost šifriranja uporabniških podatkov, vendar z bistveno razširjeno varnostjo omrežja in L3/VRF segmentacijskimi funkcijami (požarni zid, IPS/IDS, URL filtriranje, DNS filtriranje, AMP/TG, SASE, TLS/SSL proxy, itd.) d.). Hkrati se izmenjava šifrirnih ključev izvaja učinkoviteje preko krmilnikov vSmart (in ne neposredno), preko vnaprej vzpostavljenih signalnih kanalov, zaščitenih z DTLS/TLS šifriranjem na podlagi varnostnih certifikatov. Kar posledično zagotavlja varnost tovrstnih izmenjav in zagotavlja boljšo razširljivost rešitve do več deset tisoč naprav v istem omrežju.

  Vse signalizacijske povezave (krmilnik-krmilnik, krmilnik-usmerjevalnik) so tudi zaščitene na podlagi DTLS/TLS. Routerji so v proizvodnji opremljeni z varnostnimi certifikati z možnostjo zamenjave/podaljšanja. Dvofaktorska avtentikacija je dosežena z obveznim in istočasnim izpolnjevanjem dveh pogojev za delovanje usmerjevalnika/krmilnika v omrežju SD-WAN:

  • Veljaven varnostni certifikat
  • Administrator eksplicitno in zavestno vključi vsako komponento v »bel« seznam dovoljenih naprav.

Funkcionalne razlike med SD-WAN in DMVPN/PfR

Če preidemo na razpravo o funkcionalnih razlikah, je treba opozoriti, da so mnoge od njih nadaljevanje arhitekturnih - ni skrivnost, da pri oblikovanju arhitekture rešitve razvijalci izhajajo iz zmogljivosti, ki jih želijo dobiti na koncu. Oglejmo si najpomembnejše razlike med obema tehnologijama.

AppQ (Application Quality) – funkcije za zagotavljanje kakovosti prenosa prometa poslovnih aplikacij

Ključne funkcije obravnavanih tehnologij so usmerjene v čim večjo izboljšavo uporabniške izkušnje pri uporabi poslovno kritičnih aplikacij v porazdeljenem omrežju. To je še posebej pomembno v razmerah, ko del infrastrukture ni nadzorovan s strani IT ali niti ne zagotavlja uspešnega prenosa podatkov.

DMVPN sam ne zagotavlja takšnih mehanizmov. Najboljše, kar je mogoče storiti v klasičnem omrežju DMVPN, je razvrstiti odhodni promet glede na aplikacijo in mu dati prednost pri prenosu proti kanalu WAN. Izbira tunela DMVPN je v tem primeru določena samo z njegovo razpoložljivostjo in rezultatom delovanja usmerjevalnih protokolov. Hkrati se stanje poti/tunela od konca do konca in njegova morebitna delna degradacija ne upoštevata v smislu ključnih metrik, ki so pomembne za omrežne aplikacije – zakasnitev, variacija zakasnitve (tresenje) in izgube (% ). V tem pogledu neposredna primerjava klasičnega DMVPN s SD-WAN v smislu reševanja AppQ problemov izgubi vsak pomen - DMVPN tega problema ne more rešiti. Ko v ta kontekst dodate tehnologijo Cisco Performance Routing (PfR), se situacija spremeni in primerjava s Cisco SD-WAN postane bolj smiselna.

Preden razpravljamo o razlikah, si oglejmo, v čem so si tehnologije podobne. Torej, obe tehnologiji:

• imajo mehanizem, ki vam omogoča dinamično ocenjevanje stanja vsakega vzpostavljenega tunela v smislu določenih meritev - najmanj zakasnitve, variacije zakasnitve in izgube paketov (%)
• uporabljajo določen nabor orodij za oblikovanje, distribucijo in uporabo pravil (politik) upravljanja prometa, pri čemer upoštevajo rezultate merjenja stanja ključnih metrik predora.
• klasificirajte promet aplikacij na nivojih L3-L4 (DSCP) modela OSI ali s podpisi aplikacij L7 na podlagi mehanizmov DPI, vgrajenih v usmerjevalnik
• Za pomembne aplikacije vam omogočajo, da določite sprejemljive mejne vrednosti meritev, pravila za privzeti prenos prometa in pravila za preusmerjanje prometa, ko so mejne vrednosti presežene.
• Pri enkapsulaciji prometa v GRE/IPSec uporabljajo že uveljavljen industrijski mehanizem za prenos notranjih oznak DSCP v zunanjo glavo paketa GRE/IPSEC, kar omogoča sinhronizacijo QoS politik organizacije in telekomunikacijskega operaterja (če obstaja ustrezen SLA) .

Kako se meritve SD-WAN in DMVPN/PfR razlikujejo od konca do konca?

DMVPN/PfR

• Tako aktivni kot pasivni programski senzorji (sonde) se uporabljajo za ovrednotenje standardnih meritev zdravja tunela. Aktivni temeljijo na prometu uporabnikov, pasivni posnemajo tak promet (če ga ni).
• Ni natančne nastavitve časovnikov in pogojev zaznavanja poslabšanja - algoritem je fiksen.
• Poleg tega je na voljo merjenje uporabljene pasovne širine v odhodni smeri. Kar DMVPN/PfR doda dodatno prilagodljivost upravljanja prometa.
• Hkrati se nekateri mehanizmi PfR, ko so metrike presežene, zanašajo na povratno signalizacijo v obliki posebnih sporočil TCA (Threshold Crossing Alert), ki morajo priti od prejemnika prometa proti viru, kar pa predpostavlja, da je stanje izmerjeni kanali bi morali zadostovati vsaj za prenos takih TCA sporočil. Kar v večini primerov ni problem, a očitno ni mogoče zagotoviti.

SD WAN

• Za vrednotenje standardnih metrik stanja tunela od konca do konca se v načinu odmeva uporablja protokol BFD. V tem primeru posebna povratna informacija v obliki TCA ali podobnih sporočil ni potrebna – ohranja se izolacija domen napak. Prav tako ne zahteva prisotnosti uporabniškega prometa za oceno stanja tunela.
• Možno je natančno nastaviti časovnike BFD za uravnavanje hitrosti odziva in občutljivosti algoritma na degradacijo komunikacijskega kanala od nekaj sekund do minut.

  

• V času pisanja je v vsakem tunelu samo ena seja BFD. To potencialno ustvari manj razdrobljenosti v analizi stanja tunela. V resnici lahko to postane omejitev samo, če uporabljate povezavo WAN, ki temelji na MPLS L2/L3 VPN z dogovorjenim QoS SLA – če se oznaka DSCP prometa BFD (po inkapsulaciji v IPSec/GRE) ujema s čakalno vrsto z visoko prioriteto v omrežju telekomunikacijskega operaterja, lahko to vpliva na natančnost in hitrost zaznavanja poslabšanja prometa z nizko prioriteto. Hkrati je mogoče spremeniti privzeto označevanje BFD, da se zmanjša tveganje za takšne situacije. V prihodnjih različicah programske opreme Cisco SD-WAN se pričakujejo bolj natančno nastavljene nastavitve BFD, kot tudi možnost zagona več sej BFD znotraj istega tunela s posameznimi vrednostmi DSCP (za različne aplikacije).
• BFD poleg tega omogoča oceno največje velikosti paketa, ki se lahko prenese skozi določen tunel brez fragmentacije. To omogoča SD-WAN, da dinamično prilagodi parametre, kot sta MTU in TCP MSS Adjust, da kar najbolje izkoristi razpoložljivo pasovno širino na vsaki povezavi.
• V SD-WAN je na voljo tudi možnost sinhronizacije QoS s strani telekomunikacijskih operaterjev, ne le na podlagi L3 DSCP polj, ampak tudi na podlagi L2 CoS vrednosti, ki jih lahko v poslovalnem omrežju samodejno generirajo specializirane naprave – npr. telefoni

Kako se razlikujejo zmogljivosti, metode definiranja in uporabe pravilnikov AppQ?

Politike DMVPN/PfR:

• Definirano na usmerjevalnikih osrednje podružnice prek ukazne vrstice CLI ali konfiguracijskih predlog CLI. Ustvarjanje predlog CLI zahteva pripravo in poznavanje sintakse pravilnika.

  

• Definirano globalno brez možnosti individualne konfiguracije/spremembe zahtevam posameznih segmentov omrežja.
• Grafični vmesnik ne omogoča ustvarjanja interaktivnih pravilnikov.
• Sledenje spremembam, dedovanje in ustvarjanje več različic pravilnikov za hitro preklapljanje ni na voljo.
• Samodejno razdeljeno na usmerjevalnike oddaljenih podružnic. V tem primeru se uporabljajo isti komunikacijski kanali kot za prenos uporabniških podatkov. Če med centralno in oddaljeno podružnico ni komunikacijskega kanala, je distribucija/sprememba politik nemogoča.
• Uporabljajo se na vsakem usmerjevalniku in po potrebi spremenijo rezultat standardnih usmerjevalnih protokolov, ki imajo višjo prednost.
• Za primere, ko vse podružnice WAN povezave občutijo znatno izgubo prometa, niso zagotovljeni kompenzacijski mehanizmi.

Politike SD-WAN:

• Določeno v GUI vManage prek čarovnika za interaktivne predloge.
• Podpira ustvarjanje več pravilnikov, kopiranje, dedovanje, preklapljanje med pravilniki v realnem času.
• Podpira posamezne nastavitve pravilnika za različne segmente omrežja (veje)
• Porazdeljeni so z uporabo katerega koli razpoložljivega signalnega kanala med krmilnikom in usmerjevalnikom in/ali vSmart – niso neposredno odvisni od povezljivosti podatkovne ravnine med usmerjevalnikoma. To seveda zahteva IP povezljivost med samim usmerjevalnikom in krmilniki.

  

• V primerih, ko se v vseh razpoložljivih vejah podružnice pojavijo znatne izgube podatkov, ki presegajo sprejemljive pragove za kritične aplikacije, je mogoče uporabiti dodatne mehanizme, ki povečajo zanesljivost prenosa:
  • FEC (naprej popravek napak) – uporablja poseben algoritem redundantnega kodiranja. Pri prenosu kritičnega prometa po kanalih z velikim odstotkom izgub se lahko FEC samodejno aktivira in po potrebi omogoča obnovitev izgubljenega dela podatkov. To nekoliko poveča uporabljeno pasovno širino prenosa, vendar bistveno izboljša zanesljivost.

    

  • Podvajanje podatkovnih tokov – Politika lahko poleg FEC poskrbi za samodejno podvajanje prometa izbranih aplikacij v primeru še hujših izgub, ki jih FEC ne more nadomestiti. V tem primeru bodo izbrani podatki posredovani skozi vse tunele proti sprejemni veji z naknadno de-duplikacijo (odlaganje dodatnih kopij paketov). Mehanizem bistveno poveča izkoriščenost kanala, hkrati pa tudi bistveno poveča zanesljivost prenosa.

Zmogljivosti Cisco SD-WAN, brez neposrednih analogov v DMVPN/PfR

Arhitektura rešitve Cisco SD-WAN vam v nekaterih primerih omogoča pridobitev zmogljivosti, ki jih je bodisi izjemno težko implementirati znotraj DMVPN/PfR bodisi so nepraktične zaradi zahtevanih stroškov dela ali pa popolnoma nemogoče. Oglejmo si najbolj zanimive med njimi:

prometno inženirstvo (TE)

TE vključuje mehanizme, ki omogočajo, da se promet odcepi od standardne poti, ki jo tvorijo usmerjevalni protokoli. TE se pogosto uporablja za zagotavljanje visoke razpoložljivosti omrežnih storitev s pomočjo zmožnosti hitrega in/ali proaktivnega prenosa kritičnega prometa na alternativno (ločeno) prenosno pot, da se zagotovi boljša kakovost storitve ali hitrost okrevanja v primeru okvare. na glavni poti.

Težava pri izvajanju TE je v tem, da je treba vnaprej izračunati in rezervirati (preveriti) alternativno pot. V omrežjih MPLS telekomunikacijskih operaterjev je ta problem rešen s tehnologijami, kot je MPLS Traffic-Engineering z razširitvami protokolov IGP in protokola RSVP. V zadnjem času postaja vse bolj priljubljena tudi tehnologija segmentnega usmerjanja, ki je bolj optimizirana za centralizirano konfiguracijo in orkestracijo. V klasičnih omrežjih WAN te tehnologije običajno niso zastopane ali pa so omejene na uporabo mehanizmov hop-by-hop, kot je usmerjanje na podlagi pravilnika (PBR), ki lahko razvejajo promet, vendar to izvajajo na vsakem usmerjevalniku posebej – brez prevzema upoštevati splošno stanje omrežja ali rezultat PBR v prejšnjih ali naslednjih korakih. Rezultat uporabe teh možnosti TE je razočaranje - MPLS TE se zaradi kompleksnosti konfiguracije in delovanja praviloma uporablja le v najbolj kritičnem delu omrežja (jedro), PBR pa se uporablja na posameznih usmerjevalnikih brez možnost ustvarjanja enotne politike PBR za celotno omrežje. Očitno to velja tudi za omrežja, ki temeljijo na DMVPN.

SD-WAN v zvezi s tem ponuja veliko bolj elegantno rešitev, ki je ni le enostavna za konfiguracijo, ampak se tudi veliko bolje prilagaja. To je rezultat uporabljenih arhitektur nadzorne ravnine in politične ravnine. Implementacija politične ravnine v SD-WAN vam omogoča centralno definiranje politike TE – kateri promet vas zanima? za katere VPN-je? Skozi katera vozlišča/predore je potrebno ali obratno prepovedano oblikovati alternativno pot? Po drugi strani vam centralizacija upravljanja nadzorne ravnine, ki temelji na krmilnikih vSmart, omogoča spreminjanje rezultatov usmerjanja brez uporabe nastavitev posameznih naprav - usmerjevalniki že vidijo le rezultat logike, ki je bila ustvarjena v vmesniku vManage in prenesena za uporabo v vSmart.

Storitveno veriženje

Oblikovanje storitvenih verig je pri klasičnem usmerjanju še bolj delovno intenzivna naloga kot že opisan mehanizem Traffic-Engineering. Dejansko je v tem primeru potrebno ne le ustvariti posebno pot za določeno omrežno aplikacijo, temveč tudi zagotoviti možnost odstranitve prometa iz omrežja na določenih (ali vseh) vozliščih omrežja SD-WAN za obdelavo posebna aplikacija ali storitev (požarni zid, uravnoteženje, predpomnjenje, pregled prometa itd.). Hkrati je treba imeti možnost nadzora nad stanjem teh zunanjih storitev, da preprečimo situacije črnih lukenj, potrebni pa so tudi mehanizmi, ki omogočajo, da se takšne zunanje storitve iste vrste postavijo na različne geografske lokacije. z zmožnostjo omrežja, da samodejno izbere najbolj optimalno servisno vozlišče za obdelavo prometa posamezne poslovalnice. V primeru Cisco SD-WAN je to zelo enostavno doseči z ustvarjanjem ustrezne centralizirane politike, ki »zlepi« vse vidike ciljne storitvene verige v eno samo celoto in samodejno spremeni logiko podatkovne in nadzorne ravnine samo tam, kjer in ko je potrebno.

Zmožnost ustvarjanja geografsko porazdeljene obdelave prometa izbranih vrst aplikacij v določenem zaporedju na specializirani (vendar ne povezani s samim omrežjem SD-WAN) opremi je morda najbolj nazoren prikaz prednosti Cisco SD-WAN pred klasičnim tehnologije in celo nekatere alternativne rešitve SD -WAN drugih proizvajalcev.

Kakšen je rezultat?

Očitno sta tako DMVPN (z ali brez usmerjanja zmogljivosti) kot Cisco SD-WAN na koncu reši zelo podobne težave v zvezi s porazdeljenim omrežjem WAN organizacije. Hkrati pomembne arhitekturne in funkcionalne razlike v tehnologiji Cisco SD-WAN vodijo v proces reševanja teh težav. na drugo kakovostno raven. Če povzamemo, lahko opazimo naslednje pomembne razlike med tehnologijama SD-WAN in DMVPN/PfR:

• DMVPN/PfR na splošno uporabljajo časovno preizkušene tehnologije za gradnjo prekrivnih omrežij VPN in so glede podatkovne ravnine podobni sodobnejši tehnologiji SD-WAN, vendar obstajajo številne omejitve v obliki obvezne statične konfiguracije. usmerjevalnikov, izbira topologij pa je omejena na Hub-n-Spoke. Po drugi strani ima DMVPN/PfR nekatere funkcije, ki še niso na voljo znotraj SD-WAN (govorimo o BFD na aplikacijo).
• Znotraj nadzorne ravnine se tehnologije bistveno razlikujejo. Ob upoštevanju centralizirane obdelave signalizacijskih protokolov SD-WAN omogoča predvsem znatno zožitev domen napak in "ločitev" procesa prenosa uporabniškega prometa od signalne interakcije - začasna nedostopnost krmilnikov ne vpliva na zmožnost prenosa uporabniškega prometa . Hkrati začasna nedosegljivost katere koli veje (vključno s centralno) nikakor ne vpliva na zmožnost drugih vej za medsebojno interakcijo in krmilnike.
• Tudi arhitektura za oblikovanje in uporabo politik upravljanja prometa v primeru SD-WAN je boljša od tiste v DMVPN/PfR - geo-rezervacija je veliko bolje implementirana, ni povezave s Hubom, več je možnosti za fine -tuning policy je tudi seznam izvedenih scenarijev upravljanja prometa veliko večji.
• Tudi proces orkestracije rešitev je bistveno drugačen. DMVPN predvideva prisotnost predhodno znanih parametrov, ki se morajo nekako odražati v konfiguraciji, kar nekoliko omejuje prilagodljivost rešitve in možnost dinamičnih sprememb. SD-WAN pa temelji na paradigmi, da usmerjevalnik v začetnem trenutku povezave "ne ve ničesar" o svojih krmilnikih, vendar ve, "koga lahko vprašate" - to je dovolj ne le za samodejno vzpostavitev komunikacije z krmilnikov, temveč tudi samodejno oblikovanje popolnoma povezane topologije podatkovne ravnine, ki jo je nato mogoče prilagodljivo konfigurirati/spremeniti s pravilniki.
• Kar zadeva centralizirano upravljanje, avtomatizacijo in nadzor, naj bi SD-WAN presegel zmogljivosti DMVPN/PfR, ki so se razvile iz klasičnih tehnologij in se bolj zanašajo na ukazno vrstico CLI in uporabo sistemov NMS, ki temeljijo na predlogah.
• V SD-WAN so varnostne zahteve v primerjavi z DMVPN dosegle drugačno kakovostno raven. Glavna načela so ničelno zaupanje, razširljivost in dvofaktorska avtentikacija.

Ti preprosti sklepi lahko dajejo napačen vtis, da je ustvarjanje omrežja, ki temelji na DMVPN/PfR, danes izgubilo vsak pomen. To seveda ne drži povsem. Na primer, v primerih, ko omrežje uporablja veliko zastarele opreme in je ni mogoče zamenjati, lahko DMVPN omogoči združevanje "starih" in "novih" naprav v eno samo geografsko porazdeljeno omrežje s številnimi opisanimi prednostmi. nad.

Po drugi strani pa ne smemo pozabiti, da vsi trenutni korporativni usmerjevalniki Cisco, ki temeljijo na IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v), danes podpirajo kateri koli način delovanja - tako klasično usmerjanje kot DMVPN in SD-WAN - izbira je odvisna od trenutnih potreb in razumevanja, da se lahko v vsakem trenutku z uporabo iste opreme začnete premikati proti naprednejši tehnologiji.

Vir: www.habr.com