ProHoster > Blog > administratë > A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Që nga gushti 2017, kur Cisco bleu Viptela, teknologjia kryesore e ofruar për organizimin e rrjeteve të ndërmarrjeve të shpërndara është bërë Cisco SD-WAN. Gjatë 3 viteve të fundit, teknologjia SD-WAN ka pësuar shumë ndryshime, si cilësore ashtu edhe sasiore. Kështu, funksionaliteti është zgjeruar ndjeshëm dhe mbështetja është shfaqur në ruterat klasikë të serisë Cisco ISR 1000, ISR 4000, ASR 1000 dhe Virtual CSR 1000v. Në të njëjtën kohë, shumë klientë dhe partnerë të Cisco vazhdojnë të pyesin veten: cilat janë ndryshimet midis Cisco SD-WAN dhe qasjeve tashmë të njohura të bazuara në teknologji si p.sh Cisco DMVPN и Cisco Performance Routing dhe sa të rëndësishme janë këto dallime?

Këtu duhet të bëjmë menjëherë një rezervë që përpara ardhjes së SD-WAN në portofolin Cisco, DMVPN së bashku me PfR përbënin një pjesë kyçe në arkitekturë. Cisco IWAN (WAN inteligjent), i cili nga ana tjetër ishte paraardhësi i teknologjisë së plotë SD-WAN. Megjithë ngjashmërinë e përgjithshme të detyrave që zgjidhen dhe metodave për zgjidhjen e tyre, IWAN kurrë nuk mori nivelin e automatizimit, fleksibilitetit dhe shkallëzueshmërisë së nevojshme për SD-WAN, dhe me kalimin e kohës, zhvillimi i IWAN është ulur ndjeshëm. Në të njëjtën kohë, teknologjitë që përbëjnë IWAN nuk janë zhdukur dhe shumë klientë vazhdojnë t'i përdorin ato me sukses, duke përfshirë pajisjet moderne. Si rezultat, është krijuar një situatë interesante - e njëjta pajisje Cisco ju lejon të zgjidhni teknologjinë më të përshtatshme WAN (klasike, DMVPN+PfR ose SD-WAN) në përputhje me kërkesat dhe pritjet e klientëve.

Artikulli nuk synon të analizojë në detaje të gjitha tiparet e teknologjive Cisco SD-WAN dhe DMVPN (me ose pa Routing Performance) - ka një sasi të madhe dokumentesh dhe materialesh të disponueshme për këtë. Detyra kryesore është të përpiqemi të vlerësojmë dallimet kryesore midis këtyre teknologjive. Por, përpara se të kalojmë në diskutimin e këtyre dallimeve, le të kujtojmë shkurtimisht vetë teknologjitë.

Çfarë është Cisco DMVPN dhe pse është e nevojshme?

Cisco DMVPN zgjidh problemin e lidhjes dinamike (= të shkallëzuar) të një rrjeti të degëve të largëta me rrjetin e zyrës qendrore të një ndërmarrje kur përdorni lloje arbitrare të kanaleve të komunikimit, duke përfshirë internetin (= me kriptim të kanalit të komunikimit). Teknikisht, kjo realizohet duke krijuar një rrjet mbivendosjeje të virtualizuar të klasës L3 VPN në modalitetin pikë-në-shumë pikë me një topologji logjike të tipit "Star" (Hub-n-Spoke). Për ta arritur këtë, DMVPN përdor një kombinim të teknologjive të mëposhtme:

  • Rruga IP
  • Tunelet GRE me shumë pika (mGRE)
  • Protokolli tjetër i Rezolucionit Hop (NHRP)
  • Profilet IPSec Crypto

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Cilat janë avantazhet kryesore të Cisco DMVPN në krahasim me kursin klasik duke përdorur kanalet MPLS VPN?

  • Për të krijuar një rrjet ndërdegësh, është e mundur të përdorni çdo kanal komunikimi - çdo gjë që mund të sigurojë lidhje IP midis degëve është e përshtatshme, ndërsa trafiku do të jetë i koduar (kur është e nevojshme) dhe i balancuar (ku është e mundur)
  • Një topologji plotësisht e lidhur midis degëve formohet automatikisht. Në të njëjtën kohë, ekzistojnë tunele statike midis degëve qendrore dhe të largëta, dhe tunele dinamike sipas kërkesës midis degëve të largëta (nëse ka trafik)
  • Ruterët e degës qendrore dhe të largët kanë të njëjtin konfigurim deri në adresat IP të ndërfaqeve. Duke përdorur mGRE, nuk ka nevojë të konfiguroni individualisht dhjetëra, qindra apo edhe mijëra tunele. Si rezultat, shkallëzueshmëri e mirë me dizajnin e duhur.

Çfarë është Cisco Performance Routing dhe pse është i nevojshëm?

Kur përdorni DMVPN në një rrjet ndërdegësh, një pyetje jashtëzakonisht e rëndësishme mbetet e pazgjidhur - si të vlerësohet në mënyrë dinamike gjendja e secilit prej tuneleve DMVPN për pajtueshmërinë me kërkesat e trafikut kritik për organizatën tonë dhe, përsëri, bazuar në një vlerësim të tillë, të bëjmë në mënyrë dinamike një vendim për ndryshimin e rrugës? Fakti është se DMVPN në këtë pjesë ndryshon pak nga itinerari klasik - më e mira që mund të bëhet është të konfiguroni mekanizmat QoS që do t'ju lejojnë të prioritizoni trafikun në drejtimin dalës, por në asnjë mënyrë nuk janë në gjendje të marrin parasysh gjendjen e të gjithë rrugën në një kohë ose në një tjetër.

Dhe çfarë të bëni nëse kanali degradon pjesërisht dhe jo plotësisht - si ta zbuloni dhe vlerësoni këtë? Vetë DMVPN nuk mund ta bëjë këtë. Duke marrë parasysh që kanalet që lidhin degët mund të kalojnë përmes operatorëve krejtësisht të ndryshëm të telekomit, duke përdorur teknologji krejtësisht të ndryshme, kjo detyrë bëhet jashtëzakonisht jo e parëndësishme. Dhe këtu vjen në shpëtim teknologjia Cisco Performance Routing, e cila deri në atë kohë kishte kaluar tashmë nëpër disa faza të zhvillimit.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Detyra e Cisco Performance Routing (më tej PfR) zbret në matjen e gjendjes së shtigjeve (tuneleve) të trafikut bazuar në metrikat kryesore të rëndësishme për aplikacionet e rrjetit - vonesa, ndryshimi i vonesës (jitter) dhe humbja e paketave (përqindje). Për më tepër, gjerësia e brezit të përdorur mund të matet. Këto matje ndodhin sa më afër dhe në mënyrë të arsyeshme me kohën reale, dhe rezultati i këtyre matjeve i lejon ruterit që përdor PfR të marrë në mënyrë dinamike vendime për nevojën për të ndryshuar drejtimin e këtij ose atij lloji të trafikut.

Kështu, detyra e kombinimit DMVPN/PfR mund të përshkruhet shkurtimisht si më poshtë:

  • Lejoni klientin të përdorë çdo kanal komunikimi në rrjetin WAN
  • Siguroni cilësinë më të lartë të mundshme të aplikacioneve kritike në këto kanale

Çfarë është Cisco SD-WAN?

Cisco SD-WAN është një teknologji që përdor qasjen SDN për të krijuar dhe operuar rrjetin WAN të një organizate. Kjo në veçanti nënkupton përdorimin e të ashtuquajturve kontrollues (elemente softuerike), të cilët ofrojnë orkestrim të centralizuar dhe konfigurim të automatizuar të të gjithë komponentëve të zgjidhjes. Ndryshe nga SDN-ja kanonike (stili Clean Slate), Cisco SD-WAN përdor disa lloje kontrolluesish, secila prej të cilëve kryen rolin e vet - kjo është bërë qëllimisht për të siguruar shkallëzim më të mirë dhe gjeo-tepricë.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Në rastin e SD-WAN, detyra për të përdorur çdo lloj kanali dhe për të siguruar funksionimin e aplikacioneve të biznesit mbetet e njëjtë, por në të njëjtën kohë, kërkesat për automatizimin, shkallëzueshmërinë, sigurinë dhe fleksibilitetin e një rrjeti të tillë zgjerohen.

Diskutimi i dallimeve

Nëse tani fillojmë të analizojmë ndryshimet midis këtyre teknologjive, ato do të bien në një nga kategoritë e mëposhtme:

  • Dallimet arkitekturore - si shpërndahen funksionet nëpër komponentë të ndryshëm të zgjidhjes, si organizohet ndërveprimi i këtyre komponentëve dhe si ndikon kjo në aftësitë dhe fleksibilitetin e teknologjisë?
  • Funksionaliteti – çfarë mund të bëjë një teknologji që një tjetër nuk mundet? Dhe a është vërtet kaq e rëndësishme?

Cilat janë ndryshimet arkitekturore dhe a janë ato të rëndësishme?

Secila prej këtyre teknologjive ka shumë "pjesë lëvizëse" që ndryshojnë jo vetëm në rolet e tyre, por edhe në mënyrën se si ndërveprojnë me njëra-tjetrën. Sa mirë janë menduar këto parime dhe mekanika e përgjithshme e zgjidhjes përcakton drejtpërdrejt shkallëzueshmërinë e saj, tolerancën e gabimeve dhe efikasitetin e përgjithshëm.

Le të shohim më në detaje aspektet e ndryshme të arkitekturës:

Plani i të dhënave – pjesë e zgjidhjes përgjegjëse për transmetimin e trafikut të përdoruesit midis burimit dhe marrësit. DMVPN dhe SD-WAN zbatohen përgjithësisht në mënyrë identike në vetë ruterat bazuar në tunelet GRE Multipoint. Dallimi është se si formohet grupi i nevojshëm i parametrave për këto tunele:

  • в DMVPN/PfR është një hierarki ekskluzivisht me dy nivele nyjesh me topologji Star ose Hub-n-Spoke. Kërkohet konfigurimi statik i Hub-it dhe lidhja statike e Spoke me Hub-in, si dhe ndërveprimi nëpërmjet protokollit NHRP për të formuar lidhjen në planin e të dhënave. Rrjedhimisht, duke i bërë ndryshimet në Hub dukshëm më të vështiralidhur, për shembull, me ndryshimin/lidhjen e kanaleve të reja WAN ose ndryshimin e parametrave të atyre ekzistues.
  • в SD WAN është një model plotësisht dinamik për zbulimin e parametrave të tuneleve të instaluara bazuar në planin e kontrollit (protokolli OMP) dhe planin e orkestrimit (ndërveprim me kontrolluesin vBond për zbulimin e kontrolluesit dhe detyrat e kalimit NAT). Në këtë rast, çdo topologji e mbivendosur mund të përdoret, duke përfshirë ato hierarkike. Brenda topologjisë së vendosur të tunelit të mbivendosjes, është i mundur konfigurimi fleksibël i topologjisë logjike në çdo VPN (VRF).

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Avioni i kontrollit – funksionet e shkëmbimit, filtrimit dhe modifikimit të rrugëzimit dhe informacioneve të tjera ndërmjet komponentëve të zgjidhjes.

  • в DMVPN/PfR – kryhet vetëm ndërmjet ruterave Hub dhe Spoke. Shkëmbimi i drejtpërdrejtë i informacionit të rrugës ndërmjet Spokes nuk është i mundur. Rrjedhimisht, Pa një Hub funksional, rrafshi i kontrollit dhe plani i të dhënave nuk mund të funksionojnë, i cili imponon kërkesa shtesë të disponueshmërisë së lartë në Hub që nuk mund të përmbushen gjithmonë.
  • в SD WAN - rrafshi i kontrollit nuk kryhet kurrë drejtpërdrejt ndërmjet ruterëve - ndërveprimi ndodh në bazë të protokollit OMP dhe kryhet domosdoshmërisht përmes një lloji të veçantë të specializuar të kontrolluesit vSmart, i cili ofron mundësinë e balancimit, gjeo-rezervimit dhe kontrollit të centralizuar të ngarkesa e sinjalit. Një veçori tjetër e protokollit OMP është rezistenca e tij e konsiderueshme ndaj humbjeve dhe pavarësia nga shpejtësia e kanalit të komunikimit me kontrollorët (në kufij të arsyeshëm, natyrisht). E cila po aq me sukses ju lejon të vendosni kontrollorët SD-WAN në retë publike ose private me akses nëpërmjet internetit.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Plani i politikës – pjesë e zgjidhjes përgjegjëse për përcaktimin, shpërndarjen dhe zbatimin e politikave të menaxhimit të trafikut në një rrjet të shpërndarë.

  • DMVPN – është efektivisht i kufizuar nga politikat e cilësisë së shërbimit (QoS) të konfiguruara individualisht në secilin ruter nëpërmjet modeleve CLI ose Prime Infrastructure.
  • DMVPN/PfR – Politikat PfR formohen në ruterin e centralizuar Master Controller (MC) nëpërmjet CLI dhe më pas shpërndahen automatikisht te MC-të e degëve. Në këtë rast, të njëjtat shtigje të transferimit të politikave përdoren si për planin e të dhënave. Nuk ka asnjë mundësi për të ndarë shkëmbimin e politikave, informacionin e rrugëzimit dhe të dhënat e përdoruesit. Përhapja e politikave kërkon praninë e lidhjes IP midis Hub dhe Spoke. Në këtë rast, funksioni MC, nëse është e nevojshme, mund të kombinohet me një ruter DMVPN. Është e mundur (por nuk kërkohet) të përdoren shabllonet e Prime Infrastructure për gjenerimin e centralizuar të politikave. Një tipar i rëndësishëm është se politika është formuar globalisht në të gjithë rrjetin në të njëjtën mënyrë - Politikat individuale për segmente individuale nuk mbështeten.
  • SD WAN – Politikat e menaxhimit të trafikut dhe cilësisë së shërbimit përcaktohen në mënyrë qendrore nëpërmjet ndërfaqes grafike Cisco vManage, e aksesueshme edhe nëpërmjet internetit (nëse është e nevojshme). Ato shpërndahen përmes kanaleve të sinjalizimit direkt ose indirekt përmes kontrolluesve vSmart (në varësi të llojit të politikës). Ato nuk varen nga lidhja në planin e të dhënave ndërmjet ruterave, sepse përdorni të gjitha shtigjet e disponueshme të trafikut midis kontrolluesit dhe ruterit.

    Për segmente të ndryshme të rrjetit, është e mundur të formulohen në mënyrë fleksibël politika të ndryshme - fushëveprimi i politikës përcaktohet nga shumë identifikues unikë të dhënë në zgjidhje - numri i degës, lloji i aplikacionit, drejtimi i trafikut, etj.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Orkestrimi-aeroplan – mekanizma që lejojnë komponentët të zbulojnë në mënyrë dinamike njëri-tjetrin, të konfigurojnë dhe koordinojnë ndërveprimet pasuese.

  • в DMVPN/PfR Zbulimi i ndërsjellë ndërmjet ruterave bazohet në konfigurimin statik të pajisjeve Hub dhe konfigurimin përkatës të pajisjeve Spoke. Zbulimi dinamik ndodh vetëm për Spoke, i cili raporton parametrat e tij të lidhjes Hub në pajisje, e cila nga ana tjetër është e para-konfiguruar me Spoke. Pa lidhjen IP midis Spoke dhe të paktën një Hub, është e pamundur të formohet një plan i të dhënave ose një plan kontrolli.
  • в SD WAN orkestrimi i komponentëve të zgjidhjes ndodh duke përdorur kontrolluesin vBond, me të cilin secili komponent (ruterat dhe kontrollorët vManage/vSmart) duhet së pari të krijojë lidhjen IP.

    Fillimisht, përbërësit nuk dinë për parametrat e lidhjes së njëri-tjetrit - për këtë ata kanë nevojë për orkestruesin ndërmjetës vBond. Parimi i përgjithshëm është si më poshtë - secili komponent në fazën fillestare mëson (automatikisht ose statikisht) vetëm për parametrat e lidhjes me vBond, pastaj vBond informon ruterin për kontrollorët vManage dhe vSmart (të zbuluar më herët), gjë që bën të mundur vendosjen automatike të gjitha lidhjet e nevojshme sinjalizuese.

    Hapi tjetër është që ruteri i ri të mësojë për ruterat e tjerë në rrjet përmes komunikimit OMP me kontrolluesin vSmart. Kështu, ruteri, pa ditur fillimisht asgjë për parametrat e rrjetit, është në gjendje të zbulojë plotësisht automatikisht dhe të lidhet me kontrollorët dhe më pas gjithashtu të zbulojë automatikisht dhe të krijojë lidhje me ruterat e tjerë. Në këtë rast, parametrat e lidhjes së të gjithë komponentëve fillimisht janë të panjohur dhe mund të ndryshojnë gjatë funksionimit.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Menaxhimi-plan – pjesë e zgjidhjes që ofron menaxhim dhe monitorim të centralizuar.

  • DMVPN/PfR – nuk ofrohet zgjidhje e specializuar për planin e menaxhimit. Për automatizimin dhe monitorimin bazë, mund të përdoren produkte të tilla si Cisco Prime Infrastructure. Çdo ruter ka aftësinë të kontrollohet nëpërmjet linjës së komandës CLI. Integrimi me sistemet e jashtme nëpërmjet API nuk ofrohet.
  • SD WAN – i gjithë ndërveprimi dhe monitorimi i rregullt kryhen në mënyrë qendrore përmes ndërfaqes grafike të kontrolluesit vManage. Të gjitha veçoritë e zgjidhjes, pa përjashtim, janë të disponueshme për konfigurim përmes vManage, si dhe përmes një biblioteke REST API të dokumentuar plotësisht.

    Të gjitha cilësimet e rrjetit SD-WAN në vManage zbresin në dy konstruksione kryesore - formimi i shablloneve të pajisjes (Device Template) dhe formimi i një politike që përcakton logjikën e funksionimit të rrjetit dhe përpunimit të trafikut. Në të njëjtën kohë, vManage, duke transmetuar politikën e krijuar nga administratori, zgjedh automatikisht se cilat ndryshime dhe në cilat pajisje/kontrollues individualë duhet të bëhen, gjë që rrit ndjeshëm efikasitetin dhe shkallëzueshmërinë e zgjidhjes.

    Nëpërmjet ndërfaqes vManage, disponohet jo vetëm konfigurimi i zgjidhjes Cisco SD-WAN, por edhe monitorimi i plotë i statusit të të gjithë komponentëve të zgjidhjes, deri në gjendjen aktuale të metrikës për tunele individuale dhe statistikat për përdorimin e aplikacioneve të ndryshme bazuar në analizën e DPI.

    Megjithë centralizimin e ndërveprimit, të gjithë komponentët (kontrolluesit dhe ruterat) kanë gjithashtu një linjë komandimi CLI plotësisht funksionale, e cila është e nevojshme në fazën e zbatimit ose në rast emergjence për diagnostikimin lokal. Në modalitetin normal (nëse ka një kanal sinjalizimi midis komponentëve) në ruter, linja e komandës është e disponueshme vetëm për diagnostikim dhe nuk është e disponueshme për të bërë ndryshime lokale, gjë që garanton sigurinë lokale dhe burimi i vetëm i ndryshimeve në një rrjet të tillë është vManage.

Siguria e integruar – këtu nuk po flasim vetëm për mbrojtjen e të dhënave të përdoruesit kur transmetohen përmes kanaleve të hapura, por edhe për sigurinë e përgjithshme të rrjetit WAN bazuar në teknologjinë e zgjedhur.

  • в DMVPN/PfR Është e mundur të kriptoni të dhënat e përdoruesit dhe protokollet e sinjalizimit. Kur përdorni modele të caktuara ruteri, funksionet e murit të zjarrit me inspektimin e trafikut, IPS/IDS janë gjithashtu të disponueshme. Është e mundur të segmentohen rrjetet e degëve duke përdorur VRF. Është e mundur të vërtetohen protokollet e kontrollit (me një faktor).

    Në këtë rast, ruteri në distancë konsiderohet si një element i besuar i rrjetit si parazgjedhje - d.m.th. rastet e komprometimit fizik të pajisjeve individuale dhe mundësia e aksesit të paautorizuar në to nuk supozohen ose merren parasysh; nuk ka vërtetim me dy faktorë të përbërësve të zgjidhjes, i cili në rastin e një rrjeti të shpërndarë gjeografikisht mund të sjellë rreziqe të konsiderueshme shtesë.

  • в SD WAN në analogji me DMVPN, ofrohet aftësia për të enkriptuar të dhënat e përdoruesit, por me sigurinë e rrjetit të zgjeruar ndjeshëm dhe funksionet e segmentimit L3/VRF (firewall, IPS/IDS, filtrimi URL, filtrimi DNS, AMP/TG, SASE, TLS/SSL proxy, etj.) d.). Në të njëjtën kohë, shkëmbimi i çelësave të enkriptimit kryhet në mënyrë më efikase përmes kontrolluesve vSmart (dhe jo drejtpërdrejt), përmes kanaleve të sinjalizimit të paracaktuara të mbrojtura nga kriptimi DTLS/TLS bazuar në certifikatat e sigurisë. E cila nga ana tjetër garanton sigurinë e shkëmbimeve të tilla dhe siguron shkallëzim më të mirë të zgjidhjes deri në dhjetëra mijëra pajisje në të njëjtin rrjet.

    Të gjitha lidhjet sinjalizuese (kontrolluesi me kontrolluesin, kontrolluesi-ruteri) mbrohen gjithashtu bazuar në DTLS/TLS. Routerët janë të pajisur me certifikata sigurie gjatë prodhimit me mundësi zëvendësimi/zgjatjeje. Autentifikimi me dy faktorë arrihet përmes përmbushjes së detyrueshme dhe të njëkohshme të dy kushteve që ruteri/kontrolluesi të funksionojë në një rrjet SD-WAN:

    • Certifikatë e vlefshme sigurie
    • Përfshirja e qartë dhe e vetëdijshme nga administratori i secilit komponent në listën "e bardhë" të pajisjeve të lejuara.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Dallimet funksionale midis SD-WAN dhe DMVPN/PfR

Duke kaluar në diskutimin e dallimeve funksionale, duhet të theksohet se shumë prej tyre janë një vazhdimësi e atyre arkitekturore - nuk është sekret që kur formojnë arkitekturën e një zgjidhjeje, zhvilluesit fillojnë nga aftësitë që duan të marrin në fund. Le të shohim ndryshimet më domethënëse midis dy teknologjive.

AppQ (Cilësia e aplikacionit) – funksionon për të siguruar cilësinë e transmetimit të trafikut të aplikacioneve të biznesit

Funksionet kryesore të teknologjive në shqyrtim synojnë të përmirësojnë sa më shumë përvojën e përdoruesit kur përdoren aplikacione kritike për biznesin në një rrjet të shpërndarë. Kjo është veçanërisht e rëndësishme në kushtet kur një pjesë e infrastrukturës nuk kontrollohet nga IT ose nuk garanton as transferim të suksesshëm të të dhënave.

DMVPN nuk ofron vetë mekanizma të tillë. Më e mira që mund të bëhet në një rrjet klasik DMVPN është klasifikimi i trafikut në dalje sipas aplikacionit dhe prioritizimi i tij kur transmetohet drejt kanalit WAN. Zgjedhja e një tuneli DMVPN përcaktohet në këtë rast vetëm nga disponueshmëria e tij dhe rezultati i funksionimit të protokolleve të rrugëzimit. Në të njëjtën kohë, gjendja nga fundi në skaj i shtegut/tunelit dhe degradimi i mundshëm i tij i pjesshëm nuk merren parasysh për sa i përket matjeve kryesore që janë të rëndësishme për aplikacionet e rrjetit - vonesa, variacioni i vonesës (jitter) dhe humbjet (% ). Në këtë drejtim, krahasimi i drejtpërdrejtë i DMVPN klasik me SD-WAN për sa i përket zgjidhjes së problemeve të AppQ humbet çdo kuptim - DMVPN nuk mund ta zgjidhë këtë problem. Kur shtoni teknologjinë Cisco Performance Routing (PfR) në këtë kontekst, situata ndryshon dhe krahasimi me Cisco SD-WAN bëhet më kuptimplotë.

Para se të diskutojmë ndryshimet, këtu është një vështrim i shpejtë se si teknologjitë janë të ngjashme. Pra, të dyja teknologjitë:

  • keni një mekanizëm që ju lejon të vlerësoni në mënyrë dinamike gjendjen e secilit tunel të krijuar për sa i përket metrikave të caktuara - në minimum, vonesa, ndryshimi i vonesës dhe humbja e paketave (%)
  • përdorni një grup specifik mjetesh për të formuar, shpërndarë dhe zbatuar rregullat (politikat) e menaxhimit të trafikut, duke marrë parasysh rezultatet e matjes së gjendjes së matjeve kryesore të tunelit.
  • klasifikoni trafikun e aplikacioneve në nivelet L3-L4 (DSCP) të modelit OSI ose nga nënshkrimet e aplikacionit L7 bazuar në mekanizmat DPI të integruara në ruter
  • Për aplikacione të rëndësishme, ato ju lejojnë të përcaktoni vlerat e pranueshme të pragut të metrikës, rregullat për transmetimin e trafikut si parazgjedhje dhe rregullat për ridrejtimin e trafikut kur tejkalohen vlerat e pragut.
  • Kur kapsulojnë trafikun në GRE/IPSec, ata përdorin mekanizmin e krijuar tashmë të industrisë për transferimin e shenjave të brendshme DSCP në kokën e paketës së jashtme GRE/IPSEC, e cila lejon sinkronizimin e politikave QoS të organizatës dhe operatorit të telekomit (nëse ka një SLA të përshtatshme). .

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Si ndryshojnë metrikat SD-WAN dhe DMVPN/PfR nga fundi në fund?

DMVPN/PfR

  • Të dy sensorët e softuerit aktiv dhe pasiv (Sonda) përdoren për të vlerësuar matjet standarde të shëndetit të tunelit. Ato aktive bazohen në trafikun e përdoruesve, pasivet imitojnë një trafik të tillë (në mungesë të tij).
  • Nuk ka rregullim të imët të kohëmatësve dhe kushteve të zbulimit të degradimit - algoritmi është i fiksuar.
  • Për më tepër, matja e gjerësisë së brezit të përdorur në drejtimin dalës është në dispozicion. E cila shton fleksibilitet shtesë të menaxhimit të trafikut në DMVPN/PfR.
  • Në të njëjtën kohë, disa mekanizma PfR, kur tejkalohen metrikat, mbështeten në sinjalizimin e reagimit në formën e mesazheve speciale TCA (Threshold Crossing Alert) që duhet të vijnë nga marrësi i trafikut drejt burimit, i cili nga ana tjetër supozon se gjendja e kanalet e matura duhet të jenë të paktën të mjaftueshme për transmetimin e mesazheve të tilla TCA. E cila në shumicën e rasteve nuk është problem, por padyshim nuk mund të garantohet.

SD WAN

  • Për vlerësimin nga fundi në fund të matjeve standarde të gjendjes së tunelit, protokolli BFD përdoret në modalitetin e ekos. Në këtë rast, nuk kërkohet reagime speciale në formën e TCA ose mesazheve të ngjashme - ruhet izolimi i domeneve të dështimit. Gjithashtu nuk kërkon praninë e trafikut të përdoruesit për të vlerësuar gjendjen e tunelit.
  • Është e mundur të rregulloni mirë kohëmatësit BFD për të rregulluar shpejtësinë e përgjigjes dhe ndjeshmërinë e algoritmit ndaj degradimit të kanalit të komunikimit nga disa sekonda në minuta.

    A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

  • Në kohën e shkrimit, ka vetëm një seancë BFD në çdo tunel. Kjo potencialisht krijon më pak granularitet në analizën e gjendjes së tunelit. Në realitet, kjo mund të bëhet një kufizim vetëm nëse përdorni një lidhje WAN bazuar në MPLS L2/L3 VPN me një QoS SLA të rënë dakord - nëse shënimi DSCP i trafikut BFD (pas kapsulimit në IPSec/GRE) përputhet me radhën me përparësi të lartë në rrjeti i operatorit të telekomit, atëherë kjo mund të ndikojë në saktësinë dhe shpejtësinë e zbulimit të degradimit për trafikun me prioritet të ulët. Në të njëjtën kohë, është e mundur të ndryshohet etiketimi i paracaktuar BFD për të zvogëluar rrezikun e situatave të tilla. Në versionet e ardhshme të softuerit Cisco SD-WAN, priten më shumë cilësime BFD të rregulluara mirë, si dhe aftësia për të nisur seanca të shumta BFD brenda të njëjtit tunel me vlera individuale DSCP (për aplikacione të ndryshme).
  • BFD gjithashtu ju lejon të vlerësoni madhësinë maksimale të paketës që mund të transmetohet përmes një tuneli të veçantë pa fragmentim. Kjo lejon SD-WAN të rregullojë në mënyrë dinamike parametra të tillë si MTU dhe TCP MSS Adjust për të shfrytëzuar sa më shumë gjerësinë e brezit të disponueshëm në secilën lidhje.
  • Në SD-WAN, opsioni i sinkronizimit QoS nga operatorët e telekomit është gjithashtu i disponueshëm, jo ​​vetëm bazuar në fushat L3 DSCP, por edhe bazuar në vlerat L2 CoS, të cilat mund të gjenerohen automatikisht në rrjetin e degëve nga pajisje të specializuara - për shembull, IP telefonat

Si ndryshojnë aftësitë, metodat e përcaktimit dhe aplikimit të politikave AppQ?

Politikat DMVPN/PfR:

  • Përcaktuar në router(ët) e degës qendrore nëpërmjet linjës së komandës CLI ose modeleve të konfigurimit CLI. Gjenerimi i modeleve CLI kërkon përgatitje dhe njohuri të sintaksës së politikave.

    A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

  • Përcaktuar globalisht pa mundësinë e konfigurimit/ndryshimit individual të kërkesave të segmenteve individuale të rrjetit.
  • Gjenerimi i politikave interaktive nuk ofrohet në ndërfaqen grafike.
  • Gjurmimi i ndryshimeve, trashëgimia dhe krijimi i versioneve të shumta të politikave për ndërrim të shpejtë nuk ofrohen.
  • Shpërndahet automatikisht në ruterat e degëve të largëta. Në këtë rast, të njëjtat kanale komunikimi përdoren si për transmetimin e të dhënave të përdoruesit. Nëse nuk ka kanal komunikimi ndërmjet degës qendrore dhe asaj të largët, shpërndarja/ndryshimi i politikave është i pamundur.
  • Ato përdoren në çdo ruter dhe, nëse është e nevojshme, modifikojnë rezultatin e protokolleve standarde të rrugëzimit, duke pasur një përparësi më të lartë.
  • Për rastet kur të gjitha lidhjet WAN të degëve përjetojnë humbje të konsiderueshme të trafikut, nuk ofrohen mekanizma kompensimi.

Politikat SD-WAN:

  • Përcaktuar në GUI vManage përmes magjistarit interaktiv të shabllonit.
  • Mbështet krijimin e politikave të shumta, kopjimin, trashëgiminë, ndërrimin ndërmjet politikave në kohë reale.
  • Mbështet cilësimet individuale të politikave për segmente të ndryshme të rrjetit (degë)
  • Ato shpërndahen duke përdorur çdo kanal sinjali të disponueshëm midis kontrolluesit dhe ruterit dhe/ose vSmart - nuk varen drejtpërdrejt nga lidhja e planit të të dhënave midis ruterëve. Kjo, natyrisht, kërkon lidhje IP midis vetë ruterit dhe kontrolluesve.

    A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

  • Për rastet kur të gjitha degët e disponueshme të një dege përjetojnë humbje të konsiderueshme të të dhënave që tejkalojnë pragjet e pranueshme për aplikacionet kritike, është e mundur të përdoren mekanizma shtesë që rrisin besueshmërinë e transmetimit:
    • FEC (Korrigjimi i gabimit përpara) – përdor një algoritëm të veçantë kodimi të tepërt. Kur transmetoni trafik kritik mbi kanale me një përqindje të konsiderueshme humbjesh, FEC mund të aktivizohet automatikisht dhe lejon, nëse është e nevojshme, të rivendosë pjesën e humbur të të dhënave. Kjo rrit pak gjerësinë e brezit të përdorur të transmetimit, por përmirëson ndjeshëm besueshmërinë.

      A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

    • Dyfishimi i rrjedhave të të dhënave – Përveç FEC, politika mund të parashikojë dyfishim automatik të trafikut të aplikacioneve të përzgjedhura në rast të një niveli edhe më serioz të humbjeve që nuk mund të kompensohen nga FEC. Në këtë rast, të dhënat e përzgjedhura do të transmetohen nëpër të gjitha tunelet drejt degës marrëse me de-dublikim të mëvonshëm (duke hedhur kopje shtesë të paketave). Mekanizmi rrit ndjeshëm përdorimin e kanalit, por gjithashtu rrit ndjeshëm besueshmërinë e transmetimit.

Aftësitë Cisco SD-WAN, pa analoge të drejtpërdrejta në DMVPN/PfR

Arkitektura e zgjidhjes Cisco SD-WAN në disa raste ju lejon të merrni aftësi që janë ose jashtëzakonisht të vështira për t'u zbatuar brenda DMVPN/PfR, ose janë jopraktike për shkak të kostove të kërkuara të punës, ose janë krejtësisht të pamundura. Le të shohim më interesantet prej tyre:

Trafiku-Inxhinieri (TE)

TE përfshin mekanizma që lejojnë trafikun të degëzohet nga shtegu standard i formuar nga protokollet e rrugëzimit. TE përdoret shpesh për të siguruar disponueshmëri të lartë të shërbimeve të rrjetit, përmes aftësisë për të transferuar shpejt dhe/ose në mënyrë proaktive trafikun kritik në një rrugë alternative (të shkëputur) transmetimi, në mënyrë që të sigurohet cilësi më e mirë e shërbimit ose shpejtësia e rikuperimit në rast dështimi. në rrugën kryesore.

Vështirësia në zbatimin e TE qëndron në nevojën për të llogaritur dhe rezervuar (kontrolluar) një rrugë alternative paraprakisht. Në rrjetet MPLS të operatorëve të telekomit, ky problem zgjidhet duke përdorur teknologji të tilla si MPLS Traffic-Engineering me zgjerime të protokolleve IGP dhe protokollit RSVP. Gjithashtu kohët e fundit, teknologjia Segment Routing, e cila është më e optimizuar për konfigurimin dhe orkestrimin e centralizuar, është bërë gjithnjë e më popullore. Në rrjetet klasike WAN, këto teknologji zakonisht nuk përfaqësohen ose reduktohen në përdorimin e mekanizmave hop-pas-hop si Routing bazuar në Politika (PBR), të cilat janë të afta të degëzojnë trafikun, por e zbatojnë këtë në secilin ruter veç e veç - pa marrë duke marrë parasysh gjendjen e përgjithshme të rrjetit ose rezultatin PBR në hapat e mëparshëm ose të mëpasshëm. Rezultati i përdorimit të këtyre opsioneve TE është zhgënjyes - MPLS TE, për shkak të kompleksitetit të konfigurimit dhe funksionimit, përdoret, si rregull, vetëm në pjesën më kritike të rrjetit (bërthamë), dhe PBR përdoret në ruterë individualë pa aftësia për të krijuar një politikë të unifikuar PBR për të gjithë rrjetin. Natyrisht, kjo vlen edhe për rrjetet e bazuara në DMVPN.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

SD-WAN në këtë drejtim ofron një zgjidhje shumë më elegante që jo vetëm që është e lehtë për t'u konfiguruar, por edhe shkallëzohet shumë më mirë. Ky është rezultat i arkitekturave të planit të kontrollit dhe planit të politikave të përdorura. Zbatimi i një plani politikash në SD-WAN ju lejon të përcaktoni në mënyrë qendrore politikën TE - cili trafik është me interes? për cilat VPN? Nëpër cilat nyje/tunele është e nevojshme ose, anasjelltas, e ndaluar të formohet një rrugë alternative? Nga ana tjetër, centralizimi i menaxhimit të planit të kontrollit bazuar në kontrollorët vSmart ju lejon të modifikoni rezultatet e rrugëtimit pa përdorur cilësimet e pajisjeve individuale - ruterët tashmë shohin vetëm rezultatin e logjikës që u krijua në ndërfaqen vManage dhe u transferua për përdorim në vSmart.

Shërbimi-zinxhir

Formimi i zinxhirëve të shërbimit është një detyrë edhe më intensive e punës në drejtimin klasik sesa mekanizmi i përshkruar tashmë i Trafikut-Inxhinierisë. Në të vërtetë, në këtë rast, është e nevojshme jo vetëm të krijohet një rrugë e veçantë për një aplikacion specifik të rrjetit, por edhe të sigurohet aftësia për të hequr trafikun nga rrjeti në nyje të caktuara (ose të gjitha) të rrjetit SD-WAN për përpunim nga një aplikacion ose shërbim i veçantë (Firewall, Balancimi, Caching, Trafiku i Inspektimit, etj.). Në të njëjtën kohë, është e nevojshme të jeni në gjendje të kontrolloni gjendjen e këtyre shërbimeve të jashtme për të parandaluar situatat e vrimave të zeza dhe nevojiten gjithashtu mekanizma që lejojnë shërbime të tilla të jashtme të të njëjtit lloj të vendosen në gjeo-lokacione të ndryshme. me aftësinë e rrjetit për të zgjedhur automatikisht nyjen më optimale të shërbimit për përpunimin e trafikut të një dege të caktuar. Në rastin e Cisco SD-WAN, kjo është mjaft e lehtë për t'u arritur duke krijuar një politikë të përshtatshme të centralizuar që "ngjit" të gjitha aspektet e zinxhirit të shërbimit të synuar në një tërësi të vetme dhe ndryshon automatikisht logjikën e planit të të dhënave dhe planit të kontrollit vetëm aty ku dhe kur është e nevojshme.

A do ta ndërpresë Cisco SD-WAN degën në të cilën ndodhet DMVPN?

Aftësia për të krijuar përpunim gjeo-shpërndarë të trafikut të llojeve të zgjedhura të aplikacioneve në një sekuencë të caktuar në pajisjet e specializuara (por jo të lidhura me vetë rrjetin SD-WAN) është ndoshta demonstrimi më i qartë i avantazheve të Cisco SD-WAN ndaj klasikëve. teknologjitë dhe madje disa zgjidhje alternative SD -WAN nga prodhues të tjerë.

Rezultati?

Natyrisht, si DMVPN (me ose pa Routing Performance) ashtu edhe Cisco SD-WAN përfundojnë duke zgjidhur probleme shumë të ngjashme në lidhje me rrjetin e shpërndarë WAN të organizatës. Në të njëjtën kohë, dallimet e rëndësishme arkitekturore dhe funksionale në teknologjinë Cisco SD-WAN çojnë në procesin e zgjidhjes së këtyre problemeve në një nivel tjetër cilësie. Për ta përmbledhur, mund të vërejmë ndryshimet e mëposhtme domethënëse midis teknologjive SD-WAN dhe DMVPN/PfR:

  • DMVPN/PfR në përgjithësi përdor teknologji të testuara me kohë për ndërtimin e rrjeteve VPN të mbivendosura dhe, për sa i përket planit të të dhënave, janë të ngjashme me teknologjinë më moderne SD-WAN, megjithatë, ka një sërë kufizimesh në formën e një konfigurimi statik të detyrueshëm e ruterave dhe zgjedhja e topologjive është e kufizuar në Hub-n-Spoke. Nga ana tjetër, DMVPN/PfR ka disa funksionalitete që nuk janë ende të disponueshme brenda SD-WAN (po flasim për BFD për aplikacion).
  • Brenda planit të kontrollit, teknologjitë ndryshojnë rrënjësisht. Duke marrë parasysh përpunimin e centralizuar të protokolleve të sinjalizimit, SD-WAN lejon, në veçanti, të ngushtojë ndjeshëm domenet e dështimit dhe "të shkëputë" procesin e transmetimit të trafikut të përdoruesit nga ndërveprimi i sinjalizimit - mungesa e përkohshme e kontrolluesve nuk ndikon në aftësinë për të transmetuar trafikun e përdoruesve . Në të njëjtën kohë, mosdisponueshmëria e përkohshme e ndonjë dege (përfshirë atë qendrore) nuk ndikon në asnjë mënyrë aftësinë e degëve të tjera për të bashkëvepruar me njëra-tjetrën dhe kontrolluesit.
  • Arkitektura për formimin dhe aplikimin e politikave të menaxhimit të trafikut në rastin e SD-WAN është gjithashtu superiore ndaj asaj në DMVPN/PfR - gjeo-rezervimi zbatohet shumë më mirë, nuk ka lidhje me Hub-in, ka më shumë mundësi për gjobë. -politikat e akordimit, lista e skenarëve të zbatuar të menaxhimit të trafikut është gjithashtu shumë më e madhe.
  • Procesi i orkestrimit të zgjidhjeve është gjithashtu dukshëm i ndryshëm. DMVPN supozon praninë e parametrave të njohur më parë që duhet të pasqyrohen disi në konfigurim, gjë që kufizon disi fleksibilitetin e zgjidhjes dhe mundësinë e ndryshimeve dinamike. Nga ana tjetër, SD-WAN bazohet në paradigmën që në momentin fillestar të lidhjes, ruteri "nuk di asgjë" për kontrollorët e tij, por e di "kë mund të pyesni" - kjo është e mjaftueshme jo vetëm për të vendosur automatikisht komunikim me kontrollorët, por edhe për të formuar automatikisht një topologji të lidhur plotësisht me planin e të dhënave, e cila më pas mund të konfigurohet/ndryshohet në mënyrë fleksibël duke përdorur politikat.
  • Për sa i përket menaxhimit, automatizimit dhe monitorimit të centralizuar, SD-WAN pritet të tejkalojë aftësitë e DMVPN/PfR, të cilat kanë evoluar nga teknologjitë klasike dhe mbështeten më shumë në linjën e komandës CLI dhe përdorimin e sistemeve NMS të bazuara në shabllone.
  • Në SD-WAN, krahasuar me DMVPN, kërkesat e sigurisë kanë arritur një nivel të ndryshëm cilësor. Parimet kryesore janë besimi zero, shkallëzueshmëria dhe vërtetimi me dy faktorë.

Këto përfundime të thjeshta mund të japin përshtypjen e gabuar se krijimi i një rrjeti të bazuar në DMVPN/PfR ka humbur të gjithë rëndësinë sot. Kjo sigurisht nuk është plotësisht e vërtetë. Për shembull, në rastet kur rrjeti përdor shumë pajisje të vjetruara dhe nuk ka asnjë mënyrë për ta zëvendësuar atë, DMVPN mund t'ju lejojë të kombinoni pajisjet "të vjetra" dhe "të reja" në një rrjet të vetëm gjeo-shpërndarë me shumë nga avantazhet e përshkruara. sipër.

Nga ana tjetër, duhet të mbahet mend se të gjithë ruterat aktualë të korporatës Cisco të bazuar në IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) sot mbështesin çdo mënyrë funksionimi - si drejtimi klasik, ashtu edhe DMVPN dhe SD-WAN - zgjedhja përcaktohet nga nevojat aktuale dhe të kuptuarit se në çdo moment, duke përdorur të njëjtat pajisje, mund të filloni të ecni drejt teknologjisë më të avancuar.

Burimi: www.habr.com

Shto një koment