ProHoster > Blog > Administrasi > Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Kusabab Agustus 2017, nalika Cisco kaala Viptela, téknologi utama anu ditawarkeun pikeun ngatur jaringan perusahaan anu disebarkeun parantos janten. Cisco SD-WAN. Sapanjang 3 taun katukang, téknologi SD-WAN parantos ngalangkungan seueur parobihan, boh kualitatif sareng kuantitatif. Ku kituna, pungsionalitasna parantos ningkat sacara signifikan sareng dukungan parantos muncul dina router klasik séri Cisco ISR 1000, ISR 4000, ASR 1000 jeung Virtual CSR 1000v. Dina waktos anu sami, seueur palanggan sareng mitra Cisco terus heran: naon béda antara Cisco SD-WAN jeung pendekatan geus akrab dumasar kana téknologi kayaning Cisco DMVPN и Cisco Performance Routing sareng kumaha pentingna bédana ieu?

Di dieu urang kedah geuwat ngadamel reservasi yén sateuacan munculna SD-WAN dina portopolio Cisco, DMVPN sareng PfR janten bagian konci dina arsitéktur. Cisco IWAN (Intelligent WAN), anu dina gilirannana éta miheulaan téknologi SD-WAN pinuh. Sanaos kasaruaan umum tina tugas anu direngsekeun sareng metode pikeun ngarengsekeunana, IWAN henteu kantos nampi tingkat otomatisasi, kalenturan sareng skalabilitas anu dipikabutuh pikeun SD-WAN, sareng kana waktosna, pamekaran IWAN parantos turun sacara signifikan. Dina waktos anu sami, téknologi anu ngawangun IWAN henteu musna, sareng seueur palanggan anu suksés ngagunakeunana, kalebet dina alat-alat modéren. Hasilna, hiji kaayaan metot geus arisen - alat Cisco sarua ngidinan Anjeun pikeun milih téhnologi WAN paling merenah (klasik, DMVPN + PfR atanapi SD-WAN) luyu jeung sarat jeung ekspektasi konsumén.

artikel nu teu maksudna pikeun nganalisis di jéntré sagala fitur tina Cisco SD-WAN jeung téhnologi DMVPN (nganggo atawa teu nganggo Performance Routing) - aya jumlah badag dokumén sadia jeung bahan pikeun ieu. Tugas utama nyaéta pikeun ngevaluasi bédana konci antara téknologi ieu. Tapi sateuacan ngaléngkah ngabahas bédana ieu, hayu urang émut sakeudeung téknologi sorangan.

Naon Cisco DMVPN sareng naha éta diperyogikeun?

Cisco DMVPN ngarengsekeun masalah sambungan dinamis (= scalable) tina jaringan cabang jauh ka jaringan kantor pusat perusahaan nalika nganggo jinis saluran komunikasi anu sawenang, kalebet Internét (= sareng enkripsi saluran komunikasi). Téhnisna, ieu diwujudkeun ku nyiptakeun jaringan overlay virtualisasi kelas L3 VPN dina modeu point-to-multipoint kalayan topologi logis tina jinis "Star" (Hub-n-Spoke). Pikeun ngahontal ieu, DMVPN ngagunakeun kombinasi téknologi ieu:

  • IP routing
  • Torowongan GRE Multipoint (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • Propil IPSec Crypto

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Naon kaunggulan utama Cisco DMVPN dibandingkeun routing klasik ngagunakeun saluran MPLS VPN?

  • Pikeun nyiptakeun jaringan interbranch, anjeun tiasa nganggo saluran komunikasi naon waé - naon waé anu tiasa nyayogikeun konektipitas IP antara cabang cocog, sedengkeun lalu lintas bakal énkripsi (upami diperyogikeun) sareng saimbang (upami mungkin).
  • Topologi disambungkeun pinuh antara cabang otomatis kabentuk. Dina waktos anu sami, aya torowongan statik antara cabang sentral sareng terpencil, sareng torowongan dinamis dina paménta antara dahan jauh (upami aya lalu lintas)
  • Router sahiji cabang sentral jeung jauh boga konfigurasi sarua nepi ka alamat IP tina interfaces. Ku ngagunakeun mGRE, teu kedah ngonpigurasikeun masing-masing puluhan, ratusan, atanapi bahkan rébuan torowongan. Hasilna, scalability santun jeung desain katuhu.

Naon Cisco Performance Routing na naha éta diperlukeun?

Nalika nganggo DMVPN dina jaringan interbranch, hiji patarosan anu penting pisan tetep teu direngsekeun - kumaha sacara dinamis meunteun kaayaan unggal torowongan DMVPN pikeun minuhan sarat patalimarga anu kritis pikeun organisasi urang sareng, deui, dumasar kana penilaian sapertos kitu, sacara dinamis ngadamel kaputusan dina rerouting? Kanyataan yén DMVPN dina bagian ieu béda saeutik ti routing klasik - anu pangsaéna anu tiasa dilakukeun nyaéta ngonpigurasikeun mékanisme QoS anu bakal ngamungkinkeun anjeun pikeun prioritas lalu lintas ka arah anu kaluar, tapi henteu tiasa nyandak kana kaayaan kaayaan. sakabéh jalur dina hiji waktu atawa sejen.

Sarta naon anu kudu dipigawé lamun saluran degrades sawaréh teu lengkep - kumaha carana ngadeteksi na evaluate ieu? DMVPN sorangan teu tiasa ngalakukeun ieu. Nganggap yén saluran anu nyambungkeun cabang tiasa ngalangkungan operator telekomunikasi anu béda-béda, ngagunakeun téknologi anu béda-béda, tugas ieu janten teu pati penting. Sareng ieu dimana téknologi Cisco Performance Routing sumping ka nyalametkeun, anu ku waktos éta parantos ngalangkungan sababaraha tahapan pangwangunan.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Tugas Cisco Performance Routing (hereinafter PfR) turun pikeun ngukur kaayaan jalur (torowongan) lalu lintas dumasar kana métrik konci anu penting pikeun aplikasi jaringan - latency, variasi latency (jitter) jeung packet loss (persentase). Salaku tambahan, bandwidth anu dianggo tiasa diukur. Pangukuran ieu lumangsung sacaket mungkin sacara real-time sareng leres-leres, sareng hasil tina pangukuran ieu ngamungkinkeun router anu nganggo PfR sacara dinamis nyandak kaputusan ngeunaan kabutuhan ngarobih rute ieu atanapi jinis lalu lintas.

Ku kituna, tugas kombinasi DMVPN/PfR bisa digambarkeun sakeudeung kieu:

  • Ngidinan palanggan nganggo saluran komunikasi naon waé dina jaringan WAN
  • Mastikeun kualitas pangluhurna mungkin tina aplikasi kritis dina saluran ieu

Naon Cisco SD-WAN?

Cisco SD-WAN mangrupikeun téknologi anu ngagunakeun pendekatan SDN pikeun nyiptakeun sareng ngoperasikeun jaringan WAN organisasi. Ieu hususna hartina pamakéan controller disebut (elemen software), nu nyadiakeun orchestration terpusat jeung konfigurasi otomatis sadaya komponén solusi. Teu kawas SDN canonical (gaya sabak bersih), Cisco SD-WAN ngagunakeun sababaraha jenis controller, nu masing-masing ngalaksanakeun peran sorangan - ieu dipigawé ngahaja dina urutan nyadiakeun scalability hadé tur geo-redundancy.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Dina kasus SD-WAN, tugas ngagunakeun sagala jinis saluran sareng mastikeun operasi aplikasi bisnis tetep sami, tapi dina waktos anu sami, sarat pikeun otomatisasi, skalabilitas, kaamanan sareng kalenturan jaringan sapertos kitu dilegakeun.

Sawala ngeunaan bédana

Upami urang ayeuna ngawitan nganalisis bédana antara téknologi ieu, aranjeunna bakal digolongkeun kana salah sahiji kategori ieu:

  • Bedana arsitéktur - kumaha fungsi disebarkeun ka sababaraha komponén solusi, kumaha interaksi komponén sapertos diatur, sareng kumaha ieu mangaruhan kamampuan sareng kalenturan téknologi?
  • Fungsionalitas - naon anu tiasa dilakukeun ku hiji téknologi anu henteu tiasa dilakukeun ku anu sanés? Sareng naha éta penting pisan?

Naon bédana arsitéktur sareng pentingna?

Masing-masing téknologi ieu ngagaduhan seueur "bagian anu gerak" anu béda-béda henteu ngan ukur dina peranna, tapi ogé kumaha aranjeunna berinteraksi. Kumaha prinsip-prinsip ieu dipikirkeun sareng mékanika umum solusi langsung nangtukeun skalabilitasna, kasabaran kasalahan sareng efisiensi umum.

Hayu urang nempo sababaraha aspék arsitektur dina leuwih jéntré:

Data-pesawat - bagian tina solusi anu tanggung jawab pikeun ngirimkeun lalu lintas pangguna antara sumber sareng panarima. DMVPN jeung SD-WAN dilaksanakeun sacara umum idéntik dina routers sorangan dumasar kana torowongan Multipoint GRE. Bédana nyaéta kumaha set parameter anu dipikabutuh pikeun torowongan ieu kabentuk:

  • в DMVPN/PfR mangrupa hirarki titik éksklusif dua-tingkat kalawan topologi Star atawa Hub-n-Spoke. Konfigurasi statik Hub sareng beungkeutan statik Spoke to Hub diperyogikeun, kitu ogé interaksi via protokol NHRP pikeun ngabentuk konektipitas data-pesawat. Akibatna, nyieun parobahan Hub nyata leuwih hesepatali, contona, pikeun ngarobah / nyambungkeun saluran WAN anyar atawa ngarobah parameter nu geus aya.
  • в SD-PERAN mangrupakeun modél pinuh dinamis pikeun ngadeteksi parameter tina torowongan dipasang dumasar kana kontrol-pesawat (protokol OMP) jeung orchestration-pesawat (interaksi jeung vBond controller pikeun deteksi controller sarta tugas traversal Nat). Dina hal ieu, sagala topologi superimposed bisa dipaké, kaasup leuwih hirarki. Dina topologi torowongan overlay anu ditetepkeun, konfigurasi fleksibel topologi logis dina unggal VPN(VRF) individu mungkin.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Control-pesawat - fungsi bursa, nyaring jeung modifikasi tina routing sarta informasi sejenna antara komponén solusi.

  • в DMVPN/PfR - dilaksanakeun ngan antara Hub sareng Spoke router. Bursa langsung inpormasi routing antara Spokes teu mungkin. Akibatna, Tanpa Hub anu fungsina, pesawat kontrol sareng pesawat data henteu tiasa fungsina, nu imposes syarat kasadiaan tinggi tambahan dina Hub nu teu salawasna bisa patepung.
  • в SD-PERAN - kontrol-pesawat henteu pernah dilaksanakeun langsung antara routers - interaksi lumangsung dina dasar protokol OMP sarta merta dilaksanakeun ngaliwatan tipe husus misah tina vSmart controller, nu nyadiakeun kamungkinan balancing, geo-reservations jeung kontrol terpusat tina beban sinyal. Fitur séjén tina protokol OMP nyaéta résistansi anu signifikan pikeun karugian sareng kamerdikaan tina laju saluran komunikasi sareng pangendali (dina wates anu lumrah, tangtosna). Anu sami-sami suksés ngamungkinkeun anjeun nempatkeun pangendali SD-WAN dina awan umum atanapi swasta kalayan aksés ngalangkungan Internét.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Kawijakan-pesawat - bagian tina solusi anu tanggung jawab pikeun nangtukeun, nyebarkeun sareng nerapkeun kawijakan manajemén lalu lintas dina jaringan anu disebarkeun.

  • DMVPN - sacara efektif diwatesan ku kawijakan kualitas jasa (QoS) anu dikonpigurasikeun masing-masing dina unggal router via CLI atanapi témplat Infrastruktur Perdana.
  • DMVPN/PfR - Kawijakan PfR kabentuk dina terpusat Master Controller (MC) router via CLI lajeng otomatis disebarkeun ka MCs cabang. Dina hal ieu, jalur mindahkeun kawijakan sarua dipaké pikeun data-pesawat. Teu aya kamungkinan pikeun misahkeun bursa kawijakan, inpormasi rute sareng data pangguna. Propagasi kawijakan merlukeun ayana konektipitas IP antara Hub jeung Spoke. Dina hal ieu, fungsi MC tiasa, upami perlu, digabungkeun sareng router DMVPN. Kasebut nyaéta dimungkinkeun (tapi teu diperlukeun) ngagunakeun témplat Infrastruktur Perdana pikeun generasi kawijakan terpusat. Fitur penting nyaéta yén kawijakan kabentuk sacara global sapanjang jaringan dina cara anu sami - Kabijakan individu pikeun bagéan individu henteu didukung.
  • SD-PERAN - manajemén lalulintas sarta kualitas kawijakan jasa ditangtukeun centrally ngaliwatan Cisco vManage panganteur grafis, diaksés ogé via Internét (lamun perlu). Éta disebarkeun ngaliwatan saluran signalling langsung atanapi henteu langsung ngaliwatan controller vSmart (gumantung kana jenis kawijakan). Aranjeunna teu gumantung kana konektipitas data-pesawat antara routers, sabab ngagunakeun sagala jalur lalulintas sadia antara controller jeung router dina.

    Pikeun bagéan jaringan anu béda, anjeun tiasa sacara fleksibel ngarumuskeun kawijakan anu béda - ruang lingkup kawijakan ditangtukeun ku seueur identifier unik anu disayogikeun dina solusi - nomer cabang, jinis aplikasi, arah lalu lintas, jsb.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Orkestra-pesawat - mékanisme nu ngidinan komponén pikeun dinamis ngadeteksi silih, ngonpigurasikeun tur koordinat interaksi saterusna.

  • в DMVPN/PfR Papanggihan silih antara routers dumasar kana konfigurasi statik alat Hub jeung konfigurasi pakait tina alat Spoke. Papanggihan dinamis lumangsung ngan pikeun Spoke, anu ngalaporkeun parameter sambungan Hub na ka alat, anu teras dikonpigurasikeun sareng Spoke. Tanpa konektipitas IP antara Spoke sareng sahenteuna hiji Hub, mustahil pikeun ngabentuk pesawat data atanapi pesawat kontrol.
  • в SD-PERAN orchestration komponén solusi lumangsung maké vBond controller, kalawan nu unggal komponén (router na vManage / controller vSmart) mimitina kudu ngadegkeun konektipitas IP.

    Mimitina, komponén henteu terang ngeunaan parameter sambungan masing-masing - pikeun ieu aranjeunna peryogi orkestra perantara vBond. Prinsip umum nyaéta kieu - unggal komponén dina fase awal diajar (otomatis atanapi statis) ngan ngeunaan parameter sambungan ka vBond, lajeng vBond informs router ngeunaan vManage na vSmart Controllers (kapanggih saméméhna), nu ngamungkinkeun pikeun otomatis ngadegkeun. sadaya sambungan signalling perlu.

    Lengkah saterusna nyaéta pikeun router anyar pikeun neuleuman ngeunaan routers séjén dina jaringan ngaliwatan komunikasi OMP jeung vSmart controller. Ku kituna, router, tanpa mimitina nyaho nanaon tentang parameter jaringan, bisa pinuh otomatis ngadeteksi tur sambungkeun ka controller lajeng ogé otomatis ngadeteksi jeung ngabentuk konektipitas jeung routers séjén. Dina hal ieu, parameter sambungan sadaya komponén mimitina teu dipikanyaho sareng tiasa robih salami operasi.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Manajemén-pesawat - bagian tina solusi anu nyayogikeun manajemén sareng ngawaskeun terpusat.

  • DMVPN/PfR - euweuh solusi manajemén-pesawat husus disadiakeun. Pikeun automation dasar sareng ngawaskeun, produk sapertos Cisco Prime Infrastructure tiasa dianggo. Unggal router boga kamampuhan pikeun dikawasa via garis paréntah CLI. Integrasi jeung sistem éksternal via API teu disadiakeun.
  • SD-PERAN - Sadaya interaksi sareng ngawaskeun rutin dilaksanakeun sacara sentral ngaliwatan antarmuka grafis tina vManage controller. Sadaya fitur leyuran, tanpa iwal, sadia pikeun konfigurasi ngaliwatan vManage, kitu ogé ngaliwatan perpustakaan REST API pinuh documented.

    Sadaya setelan jaringan SD-WAN di vManage turun ka dua constructs utama - formasi témplat alat (Device Citakan) jeung formasi kawijakan anu nangtukeun logika operasi jaringan sarta ngolah lalulintas. Dina waktos anu sami, vManage, nyiarkeun kabijakan anu didamel ku pangurus, sacara otomatis milih parobihan anu mana sareng alat / pangendali anu kedah dilakukeun, anu sacara signifikan ningkatkeun efisiensi sareng skalabilitas solusi.

    Ngaliwatan vManage panganteur, teu ukur konfigurasi tina solusi Cisco SD-WAN sadia, tapi ogé ngawaskeun pinuh ku status sadaya komponén solusi, turun ka kaayaan kiwari metrics pikeun torowongan individu jeung statistik dina pamakéan rupa aplikasi. dumasar kana analisis DPI.

    Sanaos sentralisasi interaksi, sadaya komponén (kontroler sareng router) ogé gaduh garis paréntah CLI anu lengkep, anu dipikabutuh dina tahap palaksanaan atanapi upami aya kaayaan darurat pikeun diagnostik lokal. Dina modeu normal (lamun aya saluran signalling antara komponén) dina routers baris paréntah sadia ngan pikeun diagnostics sarta henteu sadia pikeun nyieun parobahan lokal, nu ngajamin kaamanan lokal sarta hijina sumber parobahan dina jaringan sapertos vManage.

Kaamanan terpadu - Di dieu urang kedah ngobrol henteu ngan ukur ngeunaan panyalindungan data pangguna nalika dikirimkeun ngaliwatan saluran anu kabuka, tapi ogé ngeunaan kaamanan umum jaringan WAN dumasar kana téknologi anu dipilih.

  • в DMVPN/PfR Kasebut nyaéta dimungkinkeun pikeun encrypt data pamaké sarta protokol signalling. Lamun make model router tangtu, fungsi firewall kalawan inspeksi lalulintas, IPS / IDS tambahan sadia. Kasebut nyaéta dimungkinkeun pikeun ngabagi jaringan cabang nganggo VRF. Kasebut nyaéta dimungkinkeun pikeun ngabuktoskeun kaaslianana (hiji-faktor) protokol kontrol.

    Dina hal ieu, router jauh dianggap unsur dipercaya tina jaringan sacara standar - i.e. kasus kompromi fisik alat individu sareng kamungkinan aksés anu henteu sah ka aranjeunna henteu dianggap atanapi dipertimbangkeun; teu aya auténtikasi dua-faktor komponén solusi, anu dina kasus jaringan anu disebarkeun sacara geografis. bisa mawa resiko tambahan signifikan.

  • в SD-PERAN ku analogi sareng DMVPN, kamampuan pikeun énkripsi data pangguna disayogikeun, tapi kalayan kaamanan jaringan anu dilegaan sacara signifikan sareng fungsi segmentasi L3 / VRF (firewall, IPS / IDS, nyaring URL, nyaring DNS, AMP / TG, SASE, TLS / SSL proxy, jsb.) d.). Dina waktu nu sarua, bursa konci enkripsi dilaksanakeun leuwih éfisién ngaliwatan controller vSmart (tinimbang langsung), ngaliwatan saluran signalling pre-ngadegkeun ditangtayungan ku enkripsi DTLS/TLS dumasar kana sertipikat kaamanan. Anu dina gilirannana ngajamin kaamanan séntral sapertos kitu sareng ngajamin skalabilitas solusi anu langkung saé dugi ka puluhan rébu alat dina jaringan anu sami.

    Kabéh sambungan signalling (controller-to-controller, controller-router) ogé ditangtayungan dumasar kana DTLS / TLS. Router dilengkepan sertipikat kaamanan salila produksi jeung kamungkinan ngagantian / extension. Auténtikasi dua faktor kahontal ngaliwatan minuhan wajib jeung simultaneous dua kaayaan pikeun router / controller pikeun fungsi dina jaringan SD-WAN:

    • sertipikat kaamanan valid
    • Inklusi eksplisit sareng sadar ku pangurus unggal komponén dina daptar "bodas" alat anu diidinan.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Beda fungsional antara SD-WAN sareng DMVPN / PfR

Pindah ka ngabahas béda fungsional, éta kudu dicatet yén loba di antarana mangrupakeun tuluyan tina arsitéktur - teu rusiah yén nalika ngabentuk arsitéktur solusi, pamekar mimitian ti kamampuhan nu maranéhna rék meunang dina tungtungna. Hayu urang tingali béda anu paling signifikan antara dua téknologi.

AppQ (Kualitas Aplikasi) - fungsina pikeun mastikeun kualitas pangiriman lalu lintas aplikasi bisnis

Fungsi konci téknologi anu ditalungtik ditujukeun pikeun ningkatkeun pangalaman pangguna saloba mungkin nalika nganggo aplikasi kritis bisnis dina jaringan anu disebarkeun. Ieu hususna penting dina kaayaan dimana bagian tina infrastruktur henteu dikawasa ku IT atanapi henteu ngajamin transfer data anu suksés.

DMVPN sorangan henteu nyayogikeun mékanisme sapertos kitu. Anu pangsaéna anu tiasa dilakukeun dina jaringan DMVPN klasik nyaéta ngagolongkeun lalu lintas kaluar ku aplikasi sareng prioritas nalika dikirimkeun ka saluran WAN. Pilihan torowongan DMVPN ditangtukeun dina hal ieu ngan ku kasadiaan sareng hasil tina operasi protokol routing. Dina waktos anu sami, kaayaan tungtung-ka-tungtung jalur / torowongan sareng kamungkinan degradasi parsialna henteu dipertimbangkeun dina hal métrik konci anu penting pikeun aplikasi jaringan - reureuh, variasi reureuh (jitter) sareng karugian (% ). Dina hal ieu, langsung ngabandingkeun DMVPN klasik sareng SD-WAN dina hal ngarengsekeun masalah AppQ kaleungitan sadaya harti - DMVPN teu tiasa ngabéréskeun masalah ieu. Lamun anjeun tambahkeun téhnologi Cisco Performance Routing (PfR) kana kontéks ieu, robah kaayaan sarta ngabandingkeun jeung Cisco SD-WAN jadi leuwih bermakna.

Sateuacan urang ngabahas bédana, ieu mangrupikeun tampilan gancang kumaha téknologina sami. Janten, duanana téknologi:

  • gaduh mékanisme anu ngamungkinkeun anjeun sacara dinamis ngira-ngira kaayaan unggal torowongan anu diadegkeun dina hal métrik anu tangtu - sahenteuna, reureuh, variasi reureuh sareng leungitna pakét (%)
  • ngagunakeun set husus pakakas pikeun ngabentuk, ngadistribusikaeun jeung nerapkeun aturan manajemén lalulintas (kawijakan), nyokot kana akun hasil ngukur kaayaan métrik torowongan konci.
  • mengklasifikasikan lalu lintas aplikasi dina tingkat L3-L4 (DSCP) model OSI atanapi ku tanda tangan aplikasi L7 dumasar kana mékanisme DPI anu diwangun kana router.
  • Pikeun aplikasi anu penting, aranjeunna ngamungkinkeun anjeun pikeun nangtukeun nilai ambang anu ditampi tina métrik, aturan pikeun ngirimkeun lalu lintas sacara standar, sareng aturan pikeun ngalihkeun lalu lintas nalika nilai ambang ngaleuwihan.
  • Nalika encapsulating lalulintas di GRE / IPSec, aranjeunna ngagunakeun mékanisme industri geus ngadegkeun keur mindahkeun markings DSCP internal kana GRE éksternal / lulugu pakét IPSEC, nu ngidinan nyingkronkeun kawijakan QoS organisasi jeung operator telecom (lamun aya hiji SLA luyu). .

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Kumaha SD-WAN sareng DMVPN/PfR tungtung-to-tungtung métrik béda?

DMVPN/PfR

  • Duanana sénsor parangkat lunak aktip sareng pasip (Probes) dianggo pikeun ngévaluasi métrik kaséhatan torowongan standar. Anu aktip dumasar kana lalu lintas pangguna, anu pasip niru lalu lintas sapertos kitu (dina henteuna).
  • Henteu aya fine-tuning tina timers sareng kaayaan deteksi degradasi - algoritma tetep.
  • Salaku tambahan, pangukuran bandwidth anu dianggo dina arah kaluar sayogi. Anu nambihan kalenturan manajemén lalu lintas tambahan pikeun DMVPN / PfR.
  • Dina waktos anu sami, sababaraha mékanisme PfR, nalika métrik ngaleuwihan, ngandelkeun sinyal eupan balik dina bentuk pesen TCA (Threshold Crossing Alert) khusus anu kedah sumping ti panarima lalu lintas nuju sumberna, anu dina gilirannana nganggap yén kaayaan saluran anu diukur kedah sahenteuna cekap pikeun ngirimkeun pesen TCA sapertos kitu. Nu di hal nu ilahar teu masalah, tapi écés teu bisa dijamin.

SD-PERAN

  • Pikeun évaluasi tungtung-ka-tungtung tina métrik kaayaan torowongan standar, protokol BFD dianggo dina modeu gema. Dina hal ieu, eupan balik husus dina bentuk TCA atawa pesen sarupa teu diperlukeun - isolasi domain gagal dijaga. Ogé teu merlukeun ayana lalulintas pamaké pikeun evaluate kaayaan torowongan.
  • Kasebut nyaéta dimungkinkeun pikeun nyaluyukeun timer BFD pikeun ngatur laju réspon sareng sensitipitas algoritma kana degradasi saluran komunikasi tina sababaraha detik ka menit.

    Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

  • Dina waktos nyerat, ngan aya hiji sési BFD dina unggal torowongan. Ieu berpotensi nyiptakeun kirang granularity dina analisis kaayaan torowongan. Dina kanyataanana, ieu ngan bisa jadi watesan lamun ngagunakeun sambungan WAN dumasar kana MPLS L2/L3 VPN kalawan QoS SLA sapuk - lamun DSCP nyirian lalulintas BFD (sanggeus encapsulation di IPSec / GRE) cocog antrian prioritas tinggi di. jaringan operator telekomunikasi, mangka ieu bisa mangaruhan akurasi sarta laju deteksi degradasi pikeun lalulintas-prioritas low. Dina waktos anu sami, anjeun tiasa ngarobih labél BFD standar pikeun ngirangan résiko kaayaan sapertos kitu. Dina vérsi software Cisco SD-WAN anu bakal datang, diperkirakeun setélan BFD anu langkung saé, ogé kamampuan pikeun ngaluncurkeun sababaraha sesi BFD dina torowongan anu sami sareng nilai DSCP individu (pikeun aplikasi anu béda).
  • BFD Sajaba ngidinan Anjeun pikeun estimasi ukuran pakét maksimum nu bisa dikirimkeun ngaliwatan torowongan husus tanpa fragméntasi. Hal ieu ngamungkinkeun SD-WAN sacara dinamis nyaluyukeun parameter sapertos MTU sareng TCP MSS Adjust pikeun ngamangpaatkeun bandwidth anu sayogi dina unggal tautan.
  • Dina SD-WAN, pilihan sinkronisasi QoS ti operator telekomunikasi oge sadia, teu ukur dumasar kana widang L3 DSCP, tapi ogé dumasar kana nilai L2 CoS, nu bisa otomatis dihasilkeun dina jaringan cabang ku alat husus - contona, IP. telepon

Kumaha kamampuan, metode nangtukeun sareng nerapkeun kawijakan AppQ béda?

Kawijakan DMVPN/PfR:

  • Ditetepkeun dina router cabang sentral (s) via garis paréntah CLI atawa témplat konfigurasi CLI. Ngahasilkeun témplat CLI merlukeun persiapan sareng pangaweruh ngeunaan sintaksis kawijakan.

    Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

  • Ditetepkeun sacara global tanpa kamungkinan konfigurasi individu / robah kana sarat bagéan jaringan individu.
  • Generasi kawijakan interaktif teu disadiakeun dina panganteur grafis.
  • Parobahan nyukcruk, warisan, sareng nyiptakeun sababaraha vérsi kawijakan pikeun gentos gancang henteu disayogikeun.
  • Disebarkeun otomatis ka routers cabang jauh. Dina hal ieu, saluran komunikasi anu sami dianggo pikeun ngirimkeun data pangguna. Lamun teu aya saluran komunikasi antara cabang sentral jeung jauh, distribusi / robah kawijakan mustahil.
  • Éta dianggo dina unggal router sareng, upami diperyogikeun, ngarobih hasil tina protokol routing standar, gaduh prioritas anu langkung luhur.
  • Pikeun kasus dimana sadaya tautan WAN cabang ngalaman leungitna lalu lintas anu signifikan, euweuh mékanisme santunan disadiakeun.

Kawijakan SD-WAN:

  • Ditetepkeun dina vManage GUI ngaliwatan wizard template interaktif.
  • Ngarojong nyieun sababaraha kawijakan, nyalin, inheriting, ngaganti antara kawijakan sacara real waktu.
  • Ngarojong setélan kawijakan individu pikeun bagéan jaringan béda (cabang)
  • Éta disebarkeun nganggo saluran sinyal anu aya antara controller sareng router sareng / atanapi vSmart - henteu langsung gumantung kana konektipitas data-pesawat antara router. Ieu, tangtosna, merlukeun konektipitas IP antara router sorangan jeung controller.

    Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

  • Pikeun kasus nalika sadaya cabang anu aya dina cabang ngalaman karugian data anu signifikan ngaleuwihan ambang anu ditampi pikeun aplikasi kritis, anjeun tiasa nganggo mékanisme tambahan anu ningkatkeun réliabilitas transmisi:
    • FEC (Koréksi Kasalahan Maju) - ngagunakeun algoritma coding kaleuleuwihan khusus. Nalika ngirimkeun lalu lintas kritis kana saluran kalayan persentase karugian anu signifikan, FEC tiasa otomatis diaktipkeun sareng ngamungkinkeun, upami diperyogikeun, mulangkeun bagian data anu leungit. Ieu rada ngaronjatkeun rubakpita transmisi dipaké, tapi nyata ngaronjatkeun reliabiliti.

      Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

    • Duplikasi aliran data - Salian FEC, kawijakan bisa nyadiakeun keur duplikasi otomatis tina lalulintas tina aplikasi dipilih dina acara hiji tingkat malah leuwih serius karugian nu teu bisa dibales ku FEC. Dina hal ieu, data nu dipilih bakal dikirimkeun ngaliwatan sakabeh torowongan nuju cabang panarima kalawan de-duplikasi saterusna (muterna salinan tambahan tina pakét). Mékanismena sacara signifikan ningkatkeun pamakean saluran, tapi ogé sacara signifikan ningkatkeun réliabilitas transmisi.

kamampuhan Cisco SD-WAN, tanpa analogues langsung di DMVPN / PfR

Arsitéktur sahiji solusi Cisco SD-WAN dina sababaraha kasus ngidinan Anjeun pikeun ménta kamampuhan anu boh pisan hésé pikeun nerapkeun dina DMVPN / PfR, atawa teu praktis alatan waragad kuli diperlukeun, atawa sagemblengna teu mungkin. Hayu urang nempo paling metot di antarana:

Téknik Lalu Lintas (TE)

TE ngawengku mékanisme nu ngidinan lalulintas keur cabang kaluar jalur baku dibentuk ku protokol routing. TE mindeng dipaké pikeun mastikeun kasadiaan luhur jasa jaringan, ngaliwatan kamampuhan pikeun gancang sarta / atawa proactively mindahkeun lalulintas kritis kana alternatif (disjoint) jalur transmisi, guna mastikeun kualitas hadé tina layanan atawa speed recovery lamun gagal. dina jalur utama.

Kasusah dina ngalaksanakeun TE perenahna di kudu ngitung jeung cadangan (mariksa) jalur alternatif sateuacanna. Dina jaringan operator telekomunikasi MPLS, masalah ieu direngsekeun nganggo téknologi sapertos MPLS Traffic-Engineering kalayan ekstensi protokol IGP sareng protokol RSVP. Ogé anyar, téhnologi Routing Bagéan, nu leuwih dioptimalkeun pikeun konfigurasi terpusat sarta orchestration, geus jadi beuki populér. Dina jaringan WAN klasik, téknologi ieu biasana henteu diwakilan atanapi diréduksi jadi pamakéan mékanisme hop-demi-hop sapertos Policy-Based Routing (PBR), anu sanggup ngacabang lalu lintas, tapi ngalaksanakeun ieu dina unggal router sacara misah - tanpa nyandak. kana akun kaayaan sakabéh jaringan atawa hasil PBR dina léngkah saméméhna atawa saterusna. Hasil tina ngagunakeun pilihan TE ieu nguciwakeun - MPLS TE, alatan pajeulitna konfigurasi sarta operasi, dipaké, sakumaha aturan, ngan dina bagian paling kritis jaringan (inti), sarta PBR dipaké dina routers individu tanpa. kamampuhan pikeun nyieun kawijakan PBR ngahiji pikeun sakabéh jaringan. Jelas, ieu ogé lumaku pikeun jaringan basis DMVPN.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

SD-WAN dina hal ieu nawiskeun solusi anu langkung elegan anu henteu ngan ukur gampang dikonpigurasikeun, tapi ogé skala anu langkung saé. Ieu mangrupikeun hasil tina arsitéktur pesawat kontrol sareng pesawat kabijakan anu dianggo. Nerapkeun kawijakan-pesawat di SD-WAN ngidinan Anjeun pikeun centrally nangtukeun kawijakan TE - lalulintas naon dipikaresep? pikeun VPN mana? Ngaliwatan titik / torowongan mana anu diperyogikeun atanapi, sabalikna, dilarang ngabentuk jalur alternatif? Kahareupna sentralisasi manajemén kontrol-pesawat dumasar kana vSmart Controllers ngidinan Anjeun pikeun ngaropéa hasil routing tanpa resorting kana setélan alat individu - routers geus ningali ukur hasil tina logika anu dihasilkeun dina vManage panganteur na ditransfer pikeun pamakéan pikeun vSmart.

Service-chaining

Ngabentuk ranté jasa mangrupa tugas malah leuwih kuli-intensif dina routing klasik ti mékanisme Traffic-Téknik geus digambarkeun. Mémang, dina hal ieu, perlu henteu ngan ukur nyiptakeun rute khusus pikeun aplikasi jaringan khusus, tapi ogé pikeun mastikeun kamampuan pikeun ngahapus lalu lintas tina jaringan dina titik-titik tertentu (atanapi sadayana) jaringan SD-WAN pikeun diolah ku aplikasi atawa jasa husus (Firewall, Balancing, Caching, lalulintas Inspection, jsb). Dina waktos anu sami, anjeun kedah tiasa ngontrol kaayaan jasa éksternal ieu pikeun nyegah kaayaan black-holing, sareng mékanisme ogé diperyogikeun anu ngamungkinkeun jasa éksternal sapertos jinis anu sami disimpen dina lokasi-geo anu béda. kalayan kamampuan jaringan sacara otomatis milih titik jasa anu paling optimal pikeun ngolah lalu lintas cabang tinangtu. Dina kasus Cisco SD-WAN, ieu téh rada gampang pikeun ngahontal ku nyieun hiji kawijakan terpusat luyu nu "glues" sagala aspek tina ranté jasa target kana sakabeh tunggal jeung otomatis ngarobah data-pesawat jeung kontrol-pesawat logika ngan dimana. jeung lamun perlu.

Bakal Cisco SD-WAN neukteuk off cabang nu DMVPN linggih?

Kamampuhan pikeun nyieun pamrosésan geo-disebarkeun patalimarga tina jinis aplikasi anu dipilih dina urutan anu tangtu dina alat-alat khusus (tapi henteu aya hubunganana sareng jaringan SD-WAN sorangan) sigana mangrupikeun demonstrasi anu paling jelas ngeunaan kaunggulan Cisco SD-WAN dibandingkeun klasik. téhnologi malah sababaraha solusi SD alternatif -WAN ti pabrik lianna.

Naon hasilna?

Jelas, duanana DMVPN (nganggo atanapi henteu nganggo Performance Routing) sareng Cisco SD-WAN mungkas nepi ngarengsekeun masalah pisan sarupa dina hubungan jaringan WAN disebarkeun organisasi. Dina waktos anu sami, bédana arsitéktur sareng fungsional anu signifikan dina téknologi Cisco SD-WAN nuju kana prosés ngarengsekeun masalah ieu. ka tingkat kualitas séjén. Pikeun nyimpulkeun, urang tiasa nyatet béda anu signifikan antara téknologi SD-WAN sareng DMVPN/PfR:

  • DMVPN/PfR sacara umum ngagunakeun téknologi anu diuji waktos pikeun ngawangun jaringan VPN overlay sareng, tina segi data-plane, sami sareng téknologi SD-WAN anu langkung modern, tapi aya sababaraha watesan dina bentuk konfigurasi statik wajib. tina routers sarta pilihan topologies dugi ka Hub-n-Spoke. Di sisi anu sanés, DMVPN / PfR ngagaduhan sababaraha pungsi anu henteu acan sayogi dina SD-WAN (urang ngobrol ngeunaan BFD per-aplikasi).
  • Dina pesawat kontrol, téknologi béda dina dasarna. Nganggap pamrosésan terpusat tina protokol sinyal, SD-WAN ngamungkinkeun, khususna, pikeun ngahususkeun domain gagal sacara signifikan sareng "decouple" prosés ngirimkeun lalu lintas pangguna tina interaksi sinyal - kasadiaan samentawis pangendali henteu mangaruhan kamampuan ngirimkeun lalu lintas pangguna. . Dina waktos anu sami, henteu kasadiaan samentawis cabang mana waé (kaasup anu tengah) henteu mangaruhan kamampuan cabang anu sanés pikeun berinteraksi sareng anu sanés.
  • Arsitéktur pikeun formasi sarta aplikasi kawijakan manajemén lalulintas dina kasus SD-WAN ogé punjul ti nu di DMVPN/PfR - geo-reservations leuwih hadé dilaksanakeun, euweuh sambungan kana Hub, aya deui kasempetan pikeun denda. kawijakan -tuning, daptar skenario manajemén lalulintas dilaksanakeun ogé loba nu leuwih gede.
  • Prosés orkestrasi solusi ogé béda sacara signifikan. DMVPN nganggap ayana parameter saméméhna dipikawanoh nu kudu kumaha bae reflected dina konfigurasi, nu rada ngawatesan kalenturan solusi jeung kamungkinan parobahan dinamis. Kahareupna SD-WAN didasarkeun kana paradigma yén dina momen awal sambungan, router "henteu terang nanaon" ngeunaan pangendalina, tapi terang "saha anjeun tiasa naroskeun" - ieu cekap henteu ngan ukur sacara otomatis ngadegkeun komunikasi sareng controller, tapi ogé pikeun otomatis ngabentuk topologi data-pesawat disambungkeun pinuh, nu lajeng bisa flexibly ngonpigurasi / robah ngagunakeun kawijakan.
  • Dina hal manajemén terpusat, automation sareng ngawaskeun, SD-WAN diperkirakeun ngaleuwihan kamampuan DMVPN / PfR, anu parantos mekar tina téknologi klasik sareng langkung ngandelkeun garis paréntah CLI sareng panggunaan sistem NMS berbasis template.
  • Dina SD-WAN, dibandingkeun sareng DMVPN, syarat kaamanan parantos ngahontal tingkat kualitatif anu béda. Prinsip utama nyaéta nol kapercayaan, skalabilitas sareng auténtikasi dua faktor.

Kasimpulan saderhana ieu tiasa masihan gambaran anu salah yén nyiptakeun jaringan dumasar kana DMVPN / PfR parantos kaleungitan sadayana relevansi ayeuna. Ieu tangtu teu sagemblengna bener. Contona, dina kasus dimana jaringan ngagunakeun loba parabot luntur sarta teu aya deui jalan pikeun ngaganti eta, DMVPN tiasa ngidinan Anjeun pikeun ngagabungkeun alat "heubeul" jeung "anyar" kana jaringan geo-disebarkeun tunggal jeung loba kaunggulan digambarkeun. di luhur.

Di sisi anu sanés, éta kedah émut yén sadaya router perusahaan Cisco ayeuna dumasar kana ios XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) ayeuna ngadukung modeu operasi naon waé - duanana rute klasik sareng DMVPN sareng SD-WAN - pilihan ditangtukeun ku pangabutuh ayeuna jeung pamahaman yén iraha wae, ngagunakeun alat-alat nu sami, anjeun tiasa ngawitan pindah ka arah téhnologi leuwih maju.

sumber: www.habr.com

Tambahkeun komentar