ProHoster > blog > Utawala > Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Tangu Agosti 2017, Cisco ilipopata Viptela, teknolojia kuu inayotolewa kwa ajili ya kuandaa mitandao ya biashara iliyosambazwa imekuwa. Cisco SD-WAN. Katika kipindi cha miaka 3 iliyopita, teknolojia ya SD-WAN imepitia mabadiliko mengi, ya ubora na kiasi. Kwa hivyo, utendaji umeongezeka kwa kiasi kikubwa na usaidizi umeonekana kwenye ruta za classic za mfululizo Cisco ISR 1000, ISR 4000, ASR 1000 na Virtual CSR 1000v. Wakati huo huo, wateja wengi wa Cisco na washirika wanaendelea kushangaa: ni tofauti gani kati ya Cisco SD-WAN na mbinu tayari zinazojulikana kulingana na teknolojia kama vile Cisco DMVPN ΠΈ Uendeshaji wa Utendaji wa Cisco na tofauti hizi zina umuhimu gani?

Hapa tunapaswa kuweka uhifadhi mara moja kwamba kabla ya ujio wa SD-WAN kwenye kwingineko ya Cisco, DMVPN pamoja na PfR waliunda sehemu muhimu katika usanifu. Cisco IWAN (Akili WAN), ambayo kwa upande wake ilikuwa mtangulizi wa teknolojia kamili ya SD-WAN. Licha ya kufanana kwa jumla kwa kazi zote mbili kutatuliwa na njia za kuzitatua, IWAN haijawahi kupokea kiwango cha otomatiki, kubadilika na uzani muhimu kwa SD-WAN, na baada ya muda, maendeleo ya IWAN yamepungua sana. Wakati huo huo, teknolojia zinazounda IWAN hazijaondoka, na wateja wengi wanaendelea kuzitumia kwa mafanikio, ikiwa ni pamoja na kwenye vifaa vya kisasa. Matokeo yake, hali ya kuvutia imetokea - vifaa vya Cisco sawa vinakuwezesha kuchagua teknolojia ya WAN inayofaa zaidi (classic, DMVPN+PfR au SD-WAN) kwa mujibu wa mahitaji na matarajio ya wateja.

Nakala hiyo haikusudii kuchambua kwa undani huduma zote za teknolojia za Cisco SD-WAN na DMVPN (pamoja na au bila Njia ya Utendaji) - kuna idadi kubwa ya hati na vifaa vinavyopatikana kwa hili. Kazi kuu ni kujaribu kutathmini tofauti kuu kati ya teknolojia hizi. Lakini kabla ya kuendelea na kujadili tofauti hizi, hebu tukumbuke kwa ufupi teknolojia zenyewe.

Cisco DMVPN ni nini na kwa nini inahitajika?

Cisco DMVPN hutatua tatizo la uunganisho wa nguvu (= scalable) wa mtandao wa tawi wa mbali kwa mtandao wa ofisi kuu ya biashara wakati wa kutumia aina za kiholela za njia za mawasiliano, ikiwa ni pamoja na mtandao (= na usimbaji wa njia ya mawasiliano). Kitaalamu, hii inatekelezwa kwa kuunda mtandao wa uwekaji wa juu wa darasa la L3 VPN katika hali ya uhakika-kwa-multipoint na topolojia ya kimantiki ya aina ya "Nyota" (Hub-n-Spoke). Ili kufanikisha hili, DMVPN hutumia mchanganyiko wa teknolojia zifuatazo:

  • Uelekezaji wa IP
  • Njia nyingi za GRE (mGRE)
  • Itifaki ya Next Hop Resolution (NHRP)
  • Profaili za Crypto za IPSec

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Ni faida gani kuu za Cisco DMVPN ikilinganishwa na uelekezaji wa kawaida kwa kutumia chaneli za MPLS VPN?

  • Ili kuunda mtandao wa matawi, inawezekana kutumia njia zozote za mawasiliano - chochote kinachoweza kutoa muunganisho wa IP kati ya matawi kinafaa, wakati trafiki itasimbwa (inapohitajika) na kusawazishwa (inapowezekana)
  • Topolojia iliyounganishwa kikamilifu kati ya matawi huundwa kiotomatiki. Wakati huo huo, kuna vichuguu tuli kati ya matawi ya kati na ya mbali, na vichuguu vinavyobadilika kulingana na mahitaji kati ya matawi ya mbali (ikiwa kuna trafiki)
  • Routa za tawi la kati na la mbali zina usanidi sawa hadi anwani za IP za miingiliano. Kwa kutumia mGRE, hakuna haja ya kusanidi kibinafsi makumi, mamia, au hata maelfu ya vichuguu. Kama matokeo, scalability nzuri na muundo sahihi.

Njia ya Utendaji ya Cisco ni nini na kwa nini inahitajika?

Wakati wa kutumia DMVPN kwenye mtandao wa matawi, swali moja muhimu sana bado halijatatuliwa - jinsi ya kutathmini kwa nguvu hali ya kila moja ya vichuguu vya DMVPN kwa kufuata mahitaji muhimu ya trafiki kwa shirika letu na, tena, kulingana na tathmini kama hiyo, kufanya kwa nguvu. uamuzi wa kubadili njia? Ukweli ni kwamba DMVPN katika sehemu hii inatofautiana kidogo na uelekezaji wa kitamaduni - bora inayoweza kufanywa ni kusanidi mifumo ya QoS ambayo itakuruhusu kutanguliza trafiki katika mwelekeo unaotoka, lakini kwa njia yoyote haina uwezo wa kuzingatia hali ya njia nzima kwa wakati mmoja au mwingine.

Na nini cha kufanya ikiwa kituo kinapungua kwa sehemu na sio kabisa - jinsi ya kugundua na kutathmini hii? DMVPN yenyewe haiwezi kufanya hivi. Kwa kuzingatia kwamba njia zinazounganisha matawi zinaweza kupitia waendeshaji tofauti kabisa wa mawasiliano ya simu, kwa kutumia teknolojia tofauti kabisa, kazi hii inakuwa isiyo ya maana sana. Na hapa ndipo teknolojia ya Cisco Performance Routing inakuja kuwaokoa, ambayo kwa wakati huo tayari ilikuwa imepitia hatua kadhaa za maendeleo.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Kazi ya Cisco Performance Routing (hapa PfR) inakuja chini ya kupima hali ya njia (vichuguu) vya trafiki kulingana na metriki muhimu kwa programu za mtandao - muda, mabadiliko ya muda (jitter) na upotezaji wa pakiti (asilimia). Zaidi ya hayo, bandwidth kutumika inaweza kupimwa. Vipimo hivi hutokea karibu na wakati halisi iwezekanavyo na kwa uhalali, na matokeo ya vipimo hivi inaruhusu router kutumia PfR kufanya maamuzi kwa nguvu juu ya haja ya kubadilisha njia ya hii au aina hiyo ya trafiki.

Kwa hivyo, kazi ya mchanganyiko wa DMVPN/PfR inaweza kuelezewa kwa ufupi kama ifuatavyo:

  • Ruhusu mteja kutumia njia zozote za mawasiliano kwenye mtandao wa WAN
  • Hakikisha ubora wa juu zaidi wa programu muhimu kwenye vituo hivi

Cisco SD-WAN ni nini?

Cisco SD-WAN ni teknolojia inayotumia mbinu ya SDN kuunda na kuendesha mtandao wa WAN wa shirika. Hii ina maana hasa matumizi ya kinachojulikana vidhibiti (vipengele vya programu), ambayo hutoa orchestration ya kati na usanidi wa automatiska wa vipengele vyote vya ufumbuzi. Tofauti na SDN ya kisheria (Mtindo Safi wa Slate), Cisco SD-WAN hutumia aina kadhaa za vidhibiti, ambayo kila mmoja hufanya jukumu lake mwenyewe - hii ilifanyika kwa makusudi ili kutoa scalability bora na geo-redundancy.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Katika kesi ya SD-WAN, kazi ya kutumia aina yoyote ya njia na kuhakikisha uendeshaji wa maombi ya biashara inabakia sawa, lakini wakati huo huo mahitaji ya automatisering, scalability, usalama na kubadilika kwa mtandao huo hupanua.

Majadiliano ya tofauti

Ikiwa sasa tutaanza kuchambua tofauti kati ya teknolojia hizi, zitaanguka katika mojawapo ya makundi yafuatayo:

  • Tofauti za usanifu - jinsi kazi zinasambazwa katika vipengele mbalimbali vya suluhisho, jinsi mwingiliano wa vipengele vile unavyopangwa, na hii inaathirije uwezo na kubadilika kwa teknolojia?
  • Utendaji - teknolojia moja inaweza kufanya nini ambayo nyingine haiwezi? Na ni muhimu sana?

Je, ni tofauti gani za usanifu na ni muhimu?

Kila moja ya teknolojia hizi ina "sehemu zinazohamia" nyingi ambazo hutofautiana sio tu katika majukumu yao, bali pia jinsi wanavyoingiliana. Jinsi kanuni hizi zinavyofikiriwa vizuri na mechanics ya jumla ya suluhisho huamua moja kwa moja uzani wake, uvumilivu wa makosa na ufanisi wa jumla.

Hebu tuangalie vipengele mbalimbali vya usanifu kwa undani zaidi:

Data-ndege - sehemu ya suluhisho inayohusika na kusambaza trafiki ya mtumiaji kati ya chanzo na mpokeaji. DMVPN na SD-WAN hutekelezwa kwa ujumla sawa kwenye ruta zenyewe kulingana na vichuguu vya Multipoint GRE. Tofauti ni jinsi seti muhimu ya vigezo vya vichuguu hivi huundwa:

  • Π² DMVPN/PfR ni safu mbili za viwango vya nodi zilizo na topolojia ya Star au Hub-n-Spoke. Usanidi tuli wa Hub na ufungaji tuli wa Spoke kwa Hub unahitajika, pamoja na mwingiliano kupitia itifaki ya NHRP ili kuunda muunganisho wa data-ndege. Kwa hiyo, kufanya mabadiliko kwenye Hub kuwa magumu zaidikuhusiana, kwa mfano, kubadilisha/kuunganisha chaneli mpya za WAN au kubadilisha vigezo vya zilizopo.
  • Π² SD WAN ni kielelezo kinachobadilika kikamilifu cha kutambua vigezo vya vichuguu vilivyosakinishwa kulingana na ndege-dhibiti (itifaki ya OMP) na ndege-ya-orchestration (mwingiliano na kidhibiti cha vBond kwa ugunduzi wa kidhibiti na kazi za kupitisha za NAT). Katika kesi hii, topolojia yoyote iliyowekwa juu inaweza kutumika, pamoja na yale ya kihierarkia. Ndani ya topolojia ya vichuguu vilivyowekwa, usanidi unaonyumbulika wa topolojia ya kimantiki katika kila VPN(VRF) ya mtu binafsi inawezekana.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Kudhibiti-ndege - kazi za kubadilishana, kuchuja na kurekebisha uelekezaji na habari zingine kati ya vifaa vya suluhisho.

  • Π² DMVPN/PfR - inafanywa tu kati ya vipanga njia vya Hub na Spoke. Ubadilishanaji wa moja kwa moja wa maelezo ya uelekezaji kati ya Spokes hauwezekani. Kwa hiyo, Bila Hub inayofanya kazi, ndege-dhibiti na ndege ya data haiwezi kufanya kazi, ambayo inaweka mahitaji ya ziada ya upatikanaji wa juu kwenye Hub ambayo haiwezi kutimizwa kila wakati.
  • Π² SD WAN -ndege ya kudhibiti kamwe haifanywi moja kwa moja kati ya vipanga njia - mwingiliano hutokea kwa misingi ya itifaki ya OMP na lazima ufanyike kupitia aina tofauti maalum ya kidhibiti cha vSmart, ambacho hutoa uwezekano wa kusawazisha, kuhifadhi nafasi na udhibiti wa kati wa mzigo wa ishara. Kipengele kingine cha itifaki ya OMP ni upinzani wake mkubwa kwa hasara na uhuru kutoka kwa kasi ya njia ya mawasiliano na watawala (ndani ya mipaka inayofaa, bila shaka). Ambayo kwa usawa hukuruhusu kuweka vidhibiti vya SD-WAN kwenye mawingu ya umma au ya kibinafsi na ufikiaji kupitia Mtandao.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Sera-ndege - sehemu ya suluhisho inayohusika na kufafanua, kusambaza na kutumia sera za usimamizi wa trafiki kwenye mtandao uliosambazwa.

  • DMVPN - inadhibitiwa kikamilifu na ubora wa sera za huduma (QoS) zilizowekwa kibinafsi kwenye kila kipanga njia kupitia CLI au violezo vya Prime Infrastructure.
  • DMVPN/PfR - Sera za PfR huundwa kwenye kipanga njia cha Kidhibiti Kikuu cha Kidhibiti (MC) kupitia CLI na kisha kusambazwa kiotomatiki kwa Waratibu Mkuu wa tawi. Katika kesi hii, njia sawa za uhamishaji wa sera hutumiwa kama kwa ndege ya data. Hakuna uwezekano wa kutenganisha ubadilishanaji wa sera, maelezo ya uelekezaji na data ya mtumiaji. Uenezi wa sera unahitaji uwepo wa muunganisho wa IP kati ya Hub na Spoke. Katika kesi hii, kazi ya MC inaweza, ikiwa ni lazima, kuunganishwa na router ya DMVPN. Inawezekana (lakini haihitajiki) kutumia violezo vya Prime Infrastructure kwa ajili ya uzalishaji wa sera kati. Kipengele muhimu ni kwamba sera inaundwa duniani kote katika mtandao kwa njia sawa - Sera za kibinafsi za sehemu za kibinafsi hazitumiki.
  • SD WAN - usimamizi wa trafiki na ubora wa sera za huduma huamuliwa kuu kupitia kiolesura cha picha cha Cisco vManage, kinachopatikana pia kupitia Mtandao (ikiwa ni lazima). Zinasambazwa kupitia njia za kuashiria moja kwa moja au kwa njia isiyo ya moja kwa moja kupitia vidhibiti vya vSmart (kulingana na aina ya sera). Hazitegemei uunganisho wa ndege ya data kati ya ruta, kwa sababu tumia njia zote za trafiki zinazopatikana kati ya kidhibiti na kipanga njia.

    Kwa sehemu tofauti za mtandao, inawezekana kuunda sera tofauti kwa urahisi - upeo wa sera unatambuliwa na vitambulisho vingi vya kipekee vinavyotolewa katika suluhisho - nambari ya tawi, aina ya maombi, mwelekeo wa trafiki, nk.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Orchestration-ndege - taratibu zinazoruhusu vipengele kutambuana kwa nguvu, kusanidi na kuratibu mwingiliano unaofuata.

  • Π² DMVPN/PfR Ugunduzi wa pamoja kati ya vipanga njia unatokana na usanidi tuli wa vifaa vya Hub na usanidi unaolingana wa vifaa vya Spoke. Ugunduzi wa nguvu hutokea kwa Spoke pekee, ambayo huripoti vigezo vya muunganisho wake wa Hub kwa kifaa, ambacho kwa upande wake kimesanidiwa mapema kwa Spoke. Bila muunganisho wa IP kati ya Spoke na angalau Hub moja, haiwezekani kuunda ndege ya data au ndege ya kudhibiti.
  • Π² SD WAN upangaji wa vipengele vya suluhu hutokea kwa kutumia kidhibiti cha vBond, ambacho kila sehemu (ruta na vidhibiti vya vManage/vSmart) lazima kwanza kuanzisha muunganisho wa IP.

    Hapo awali, vipengele havijui kuhusu vigezo vya uunganisho vya kila mmoja - kwa hili wanahitaji orchestrator ya kati ya vBond. Kanuni ya jumla ni kama ifuatavyo - kila sehemu katika awamu ya awali hujifunza (moja kwa moja au static) tu kuhusu vigezo vya uunganisho kwa vBond, kisha vBond inajulisha kipanga njia kuhusu vManage na vSmart vidhibiti (vilivyogunduliwa mapema), ambayo inafanya uwezekano wa kuanzisha moja kwa moja. miunganisho yote muhimu ya kuashiria.

    Hatua inayofuata ni kwa kipanga njia kipya kujifunza kuhusu vipanga njia vingine kwenye mtandao kupitia mawasiliano ya OMP na kidhibiti cha vSmart. Kwa hivyo, router, bila ya awali kujua chochote kuhusu vigezo vya mtandao, ina uwezo wa kuchunguza kikamilifu na kuunganisha kwa watawala na kisha pia kutambua moja kwa moja na kuunda muunganisho na routers nyingine. Katika kesi hii, vigezo vya uunganisho wa vipengele vyote havijulikani awali na vinaweza kubadilika wakati wa operesheni.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Usimamizi-ndege - sehemu ya suluhisho ambayo hutoa usimamizi na ufuatiliaji wa kati.

  • DMVPN/PfR - hakuna suluhisho maalum la usimamizi-ndege linalotolewa. Kwa otomatiki na ufuatiliaji wa kimsingi, bidhaa kama vile Miundombinu ya Cisco Prime zinaweza kutumika. Kila router ina uwezo wa kudhibitiwa kupitia mstari wa amri wa CLI. Ujumuishaji na mifumo ya nje kupitia API haujatolewa.
  • SD WAN - mwingiliano na ufuatiliaji wote wa kawaida unafanywa katikati kupitia kiolesura cha kielelezo cha kidhibiti cha vManage. Vipengele vyote vya suluhisho, bila ubaguzi, vinapatikana kwa usanidi kupitia vManage, na pia kupitia maktaba ya REST API iliyo na kumbukumbu kamili.

    Mipangilio yote ya mtandao wa SD-WAN katika vManage inakuja kwenye miundo miwili mikuu - uundaji wa violezo vya kifaa (Kiolezo cha Kifaa) na uundaji wa sera ambayo huamua mantiki ya uendeshaji wa mtandao na uchakataji wa trafiki. Wakati huo huo, vManage, utangazaji wa sera inayozalishwa na msimamizi, huchagua moja kwa moja ni mabadiliko gani na ambayo vifaa vya mtu binafsi / vidhibiti vinahitajika kufanywa, ambayo huongeza kwa kiasi kikubwa ufanisi na scalability ya suluhisho.

    Kupitia kiolesura cha vManage, sio tu usanidi wa suluhisho la Cisco SD-WAN unapatikana, lakini pia ufuatiliaji kamili wa hali ya vipengele vyote vya suluhisho, hadi hali ya sasa ya vipimo vya vichuguu vya mtu binafsi na takwimu za matumizi ya programu mbalimbali. kulingana na uchambuzi wa DPI.

    Licha ya ujumuishaji wa mwingiliano, vifaa vyote (vidhibiti na ruta) pia vina safu ya amri ya CLI inayofanya kazi kikamilifu, ambayo ni muhimu katika hatua ya utekelezaji au katika kesi ya dharura kwa uchunguzi wa ndani. Katika hali ya kawaida (ikiwa kuna kituo cha kuashiria kati ya vipengele) kwenye routers, mstari wa amri unapatikana tu kwa ajili ya uchunguzi na haipatikani kwa kufanya mabadiliko ya ndani, ambayo inahakikisha usalama wa ndani na chanzo pekee cha mabadiliko katika mtandao huo ni vManage.

Usalama uliojumuishwa - hapa tunapaswa kuzungumza sio tu juu ya ulinzi wa data ya mtumiaji wakati unapitishwa kwenye njia zilizo wazi, lakini pia kuhusu usalama wa jumla wa mtandao wa WAN kulingana na teknolojia iliyochaguliwa.

  • Π² DMVPN/PfR Inawezekana kusimba data ya mtumiaji na itifaki za kuashiria kwa njia fiche. Wakati wa kutumia mifano fulani ya vipanga njia, kazi za ngome na ukaguzi wa trafiki, IPS/IDS zinapatikana kwa ziada. Inawezekana kugawa mitandao ya tawi kwa kutumia VRF. Inawezekana kuthibitisha itifaki za udhibiti (sababu moja).

    Katika kesi hii, router ya mbali inachukuliwa kuwa kipengele cha kuaminika cha mtandao kwa default - i.e. kesi za maelewano ya kimwili ya vifaa vya mtu binafsi na uwezekano wa upatikanaji usioidhinishwa kwao haufikiriwi au kuzingatiwa; hakuna uthibitishaji wa vipengele viwili vya vipengele vya ufumbuzi, ambavyo katika kesi ya mtandao uliosambazwa kijiografia. inaweza kubeba hatari kubwa za ziada.

  • Π² SD WAN kwa mlinganisho na DMVPN, uwezo wa kusimba data ya mtumiaji hutolewa, lakini kwa usalama wa mtandao uliopanuliwa kwa kiasi kikubwa na kazi za sehemu za L3/VRF (firewall, IPS/IDS, uchujaji wa URL, uchujaji wa DNS, AMP/TG, SASE, TLS/SSL proksi, nk) d.). Wakati huo huo, ubadilishanaji wa funguo za usimbaji fiche unafanywa kwa ufanisi zaidi kupitia vidhibiti vya vSmart (badala ya moja kwa moja), kupitia njia za kuashiria zilizowekwa tayari zinazolindwa na usimbaji fiche wa DTLS/TLS kulingana na vyeti vya usalama. Ambayo kwa upande inahakikisha usalama wa ubadilishanaji kama huo na inahakikisha uboreshaji bora wa suluhisho hadi makumi ya maelfu ya vifaa kwenye mtandao huo huo.

    Viunganisho vyote vya kuashiria (kidhibiti-kwa-kidhibiti, kidhibiti-kidhibiti) pia kinalindwa kulingana na DTLS/TLS. Routers zina vifaa vyeti vya usalama wakati wa uzalishaji na uwezekano wa uingizwaji / ugani. Uthibitishaji wa vipengele viwili hupatikana kupitia utimilifu wa lazima na kwa wakati mmoja wa masharti mawili kwa kipanga njia/kidhibiti kufanya kazi katika mtandao wa SD-WAN:

    • Cheti halali cha usalama
    • Kujumuishwa kwa uwazi na fahamu na msimamizi wa kila sehemu katika orodha "nyeupe" ya vifaa vinavyoruhusiwa.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Tofauti za kiutendaji kati ya SD-WAN na DMVPN/PfR

Kuendelea kujadili tofauti za kazi, ni lazima ieleweke kwamba wengi wao ni mwendelezo wa wale wa usanifu - sio siri kwamba wakati wa kutengeneza usanifu wa suluhisho, watengenezaji huanza kutoka kwa uwezo ambao wanataka kupata mwisho. Wacha tuangalie tofauti kubwa zaidi kati ya teknolojia hizi mbili.

AppQ (Ubora wa Maombi) - hufanya kazi ili kuhakikisha ubora wa uwasilishaji wa trafiki ya maombi ya biashara

Kazi muhimu za teknolojia zinazozingatiwa zinalenga kuboresha uzoefu wa mtumiaji iwezekanavyo wakati wa kutumia programu muhimu za biashara katika mtandao unaosambazwa. Hii ni muhimu sana katika hali ambapo sehemu ya miundombinu haidhibitiwi na IT au haitoi uhakikisho wa uhamishaji wa data uliofaulu.

DMVPN yenyewe haitoi mifumo kama hii. Bora zaidi inayoweza kufanywa katika mtandao wa kawaida wa DMVPN ni kuainisha trafiki inayotoka kwa kutumia programu na kuipa kipaumbele inapotumwa kuelekea kituo cha WAN. Uchaguzi wa handaki ya DMVPN imedhamiriwa katika kesi hii tu kwa upatikanaji wake na matokeo ya uendeshaji wa itifaki za uelekezaji. Wakati huo huo, hali ya mwisho-hadi-mwisho ya njia/handaki na uharibifu wake wa sehemu unaowezekana hauzingatiwi katika suala la vipimo muhimu ambavyo ni muhimu kwa programu za mtandao - kucheleweshwa, kuchelewesha tofauti (jitter) na hasara (% ) Katika suala hili, kulinganisha moja kwa moja DMVPN ya kawaida na SD-WAN katika suala la kutatua matatizo ya AppQ inapoteza maana yote - DMVPN haiwezi kutatua tatizo hili. Unapoongeza teknolojia ya Cisco Performance Routing (PfR) katika muktadha huu, hali inabadilika na kulinganisha na Cisco SD-WAN kunakuwa na maana zaidi.

Kabla ya kujadili tofauti, hapa kuna kuangalia kwa haraka jinsi teknolojia zinavyofanana. Kwa hivyo, teknolojia zote mbili:

  • kuwa na utaratibu unaokuruhusu kutathmini kwa nguvu hali ya kila handaki iliyoanzishwa kulingana na metriki fulani - kwa kiwango cha chini, kuchelewesha, kuchelewesha tofauti na upotezaji wa pakiti (%).
  • tumia seti maalum ya zana za kuunda, kusambaza na kutumia sheria za usimamizi wa trafiki (sera), kwa kuzingatia matokeo ya kupima hali ya metrics muhimu za tunnel.
  • ainisha trafiki ya programu katika viwango vya L3-L4 (DSCP) vya muundo wa OSI au kwa saini za programu za L7 kulingana na mifumo ya DPI iliyojengwa kwenye kipanga njia
  • Kwa programu muhimu, hukuruhusu kubaini viwango vinavyokubalika vya vipimo, sheria za kupitisha trafiki kwa chaguo-msingi, na sheria za kurekebisha trafiki wakati viwango vya juu vinapitwa.
  • Wakati wa kujumuisha trafiki katika GRE/IPSec, hutumia utaratibu wa tasnia uliowekwa tayari wa kuhamisha alama za ndani za DSCP hadi kwenye kichwa cha nje cha pakiti za GRE/IPSEC, ambayo huruhusu kusawazisha sera za QoS za shirika na opereta wa mawasiliano ya simu (ikiwa kuna SLA inayofaa) .

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Je, vipimo vya SD-WAN na DMVPN/PfR vinatofautiana vipi?

DMVPN/PfR

  • Vihisi programu amilifu na tulivu (Probes) hutumiwa kutathmini vipimo vya kawaida vya afya ya mifereji. Zinazotumika zinatokana na trafiki ya watumiaji, zile za watazamaji huiga trafiki kama hiyo (ikiwa haipo).
  • Hakuna urekebishaji mzuri wa vipima muda na hali ya kugundua uharibifu - algorithm imewekwa.
  • Zaidi ya hayo, kipimo cha kipimo data kilichotumiwa katika mwelekeo unaotoka kinapatikana. Ambayo inaongeza kubadilika zaidi kwa usimamizi wa trafiki kwa DMVPN/PfR.
  • Wakati huo huo, baadhi ya taratibu za PfR, wakati vipimo vinapopitwa, hutegemea kuashiria maoni kwa njia ya ujumbe maalum wa TCA (Threshold Crossing Alert) ambao lazima utoke kwa mpokeaji wa trafiki kuelekea chanzo, ambayo kwa upande wake inadhania kuwa hali ya chaneli zilizopimwa zinapaswa kuwa angalau za kutosha kwa usambazaji wa ujumbe kama huo wa TCA. Ambayo katika hali nyingi sio shida, lakini ni wazi haiwezi kuhakikishwa.

SD WAN

  • Kwa tathmini ya mwisho hadi mwisho ya vipimo vya kawaida vya hali ya handaki, itifaki ya BFD inatumika katika hali ya mwangwi. Katika kesi hii, maoni maalum kwa namna ya TCA au ujumbe sawa hauhitajiki - kutengwa kwa vikoa vya kushindwa huhifadhiwa. Pia hauhitaji uwepo wa trafiki ya watumiaji ili kutathmini hali ya handaki.
  • Inawezekana kurekebisha vipima muda vya BFD ili kudhibiti kasi ya majibu na unyeti wa algoriti hadi uharibifu wa njia ya mawasiliano kutoka sekunde kadhaa hadi dakika.

    Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

  • Wakati wa kuandika, kuna kipindi kimoja tu cha BFD katika kila handaki. Hii inaweza kuleta uzito mdogo katika uchanganuzi wa hali ya handaki. Kwa kweli, hii inaweza tu kuwa kizuizi ikiwa unatumia muunganisho wa WAN kulingana na MPLS L2/L3 VPN na QoS SLA iliyokubaliwa - ikiwa alama ya DSCP ya trafiki ya BFD (baada ya kuingizwa katika IPSec/GRE) inalingana na foleni ya kipaumbele katika mtandao wa waendeshaji wa telecom, basi hii inaweza kuathiri usahihi na kasi ya kugundua uharibifu kwa trafiki ya kipaumbele cha chini. Wakati huo huo, inawezekana kubadilisha lebo ya kawaida ya BFD ili kupunguza hatari ya hali kama hizo. Katika matoleo yajayo ya programu ya Cisco SD-WAN, mipangilio iliyosasishwa zaidi ya BFD inatarajiwa, pamoja na uwezo wa kuzindua vipindi vingi vya BFD ndani ya handaki moja na maadili ya DSCP mahususi (kwa programu tofauti).
  • BFD pia hukuruhusu kukadiria saizi ya juu zaidi ya pakiti ambayo inaweza kupitishwa kupitia handaki fulani bila kugawanyika. Hii inaruhusu SD-WAN kurekebisha vigezo kwa nguvu kama vile MTU na TCP MSS Rekebisha ili kutumia vyema kipimo data kinachopatikana kwenye kila kiungo.
  • Katika SD-WAN, chaguo la maingiliano ya QoS kutoka kwa waendeshaji wa mawasiliano ya simu inapatikana pia, sio tu kulingana na mashamba ya L3 DSCP, lakini pia kulingana na maadili ya L2 CoS, ambayo yanaweza kuzalishwa moja kwa moja kwenye mtandao wa tawi na vifaa maalum - kwa mfano, IP. simu

Je, uwezo, mbinu za kufafanua na kutumia sera za AppQ hutofautiana vipi?

Sera za DMVPN/PfR:

  • Inafafanuliwa kwenye kipanga njia cha tawi la kati kupitia mstari wa amri wa CLI au violezo vya usanidi vya CLI. Kuzalisha violezo vya CLI kunahitaji maandalizi na ujuzi wa sintaksia ya sera.

    Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

  • Inafafanuliwa kimataifa bila uwezekano wa usanidi / mabadiliko ya mtu binafsi kwa mahitaji ya sehemu za mtandao za mtu binafsi.
  • Uundaji wa sera ingiliani haujatolewa katika kiolesura cha picha.
  • Kufuatilia mabadiliko, urithi na kuunda matoleo mengi ya sera za kubadili haraka hakujatolewa.
  • Inasambazwa kiotomatiki kwa ruta za matawi ya mbali. Katika kesi hii, njia sawa za mawasiliano hutumiwa kama kusambaza data ya mtumiaji. Ikiwa hakuna njia ya mawasiliano kati ya tawi la kati na la mbali, usambazaji/mabadiliko ya sera hayawezekani.
  • Zinatumika kwenye kila router na, ikiwa ni lazima, kurekebisha matokeo ya itifaki za kawaida za uelekezaji, kuwa na kipaumbele cha juu.
  • Kwa hali ambapo viungo vyote vya WAN vya tawi vinapata hasara kubwa ya trafiki, hakuna njia za fidia zinazotolewa.

Sera za SD-WAN:

  • Imefafanuliwa katika vManage GUI kupitia kichawi cha kiolezo shirikishi.
  • Inasaidia kuunda sera nyingi, kunakili, kurithi, kubadilisha kati ya sera kwa wakati halisi.
  • Inaauni mipangilio ya sera ya kibinafsi ya sehemu tofauti za mtandao (matawi)
  • Zinasambazwa kwa kutumia chaneli yoyote inayopatikana ya mawimbi kati ya kidhibiti na kipanga njia na/au vSmart - hazitegemei moja kwa moja muunganisho wa ndege ya data kati ya vipanga njia. Hii, bila shaka, inahitaji uunganisho wa IP kati ya router yenyewe na watawala.

    Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

  • Katika hali ambapo matawi yote yanayopatikana ya tawi yanapata hasara kubwa ya data inayozidi viwango vinavyokubalika kwa programu muhimu, inawezekana kutumia mbinu za ziada zinazoongeza uaminifu wa utumaji:
    • FEC (Marekebisho ya Hitilafu ya Mbele) - hutumia algoriti maalum ya usimbaji isiyo na maana. Wakati wa kusambaza trafiki muhimu juu ya njia na asilimia kubwa ya hasara, FEC inaweza kuanzishwa kiotomatiki na inaruhusu, ikiwa ni lazima, kurejesha sehemu iliyopotea ya data. Hii huongeza kidogo bandwidth ya maambukizi iliyotumiwa, lakini inaboresha kwa kiasi kikubwa kuegemea.

      Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

    • Rudufu ya mitiririko ya data - Mbali na FEC, sera inaweza kutoa urudufu wa kiotomatiki wa trafiki ya programu zilizochaguliwa katika tukio la kiwango kikubwa zaidi cha hasara ambacho hakiwezi kulipwa na FEC. Katika hali hii, data iliyochaguliwa itatumwa kupitia vichuguu vyote kuelekea tawi linalopokea na uondoaji unaofuata (kudondosha nakala za ziada za pakiti). Utaratibu huongeza kwa kiasi kikubwa utumiaji wa kituo, lakini pia huongeza kwa kiasi kikubwa uaminifu wa maambukizi.

Uwezo wa Cisco SD-WAN, bila analogi za moja kwa moja katika DMVPN/PfR

Usanifu wa suluhisho la Cisco SD-WAN katika hali zingine hukuruhusu kupata uwezo ambao ni mgumu sana kutekeleza ndani ya DMVPN/PfR, au hauwezekani kwa sababu ya gharama zinazohitajika za wafanyikazi, au hauwezekani kabisa. Wacha tuangalie ya kuvutia zaidi kati yao:

Uhandisi wa Trafiki (TE)

TE inajumuisha njia zinazoruhusu trafiki kugawanya njia ya kawaida inayoundwa na itifaki za uelekezaji. TE mara nyingi hutumika kuhakikisha upatikanaji wa juu wa huduma za mtandao, kupitia uwezo wa haraka na/au kuhamisha trafiki muhimu kwa njia mbadala (iliyotengana) ya upitishaji, ili kuhakikisha ubora bora wa huduma au kasi ya urejeshaji inapotokea kushindwa. kwenye njia kuu.

Ugumu katika kutekeleza TE upo katika hitaji la kukokotoa na kuhifadhi (kuangalia) njia mbadala mapema. Katika mitandao ya MPLS ya waendeshaji mawasiliano ya simu, tatizo hili hutatuliwa kwa kutumia teknolojia kama vile Uhandisi wa Trafiki wa MPLS na viendelezi vya itifaki za IGP na itifaki ya RSVP. Hivi majuzi, teknolojia ya Uelekezaji wa Sehemu, ambayo imeboreshwa zaidi kwa usanidi na upangaji wa kati, imezidi kuwa maarufu. Katika mitandao ya kawaida ya WAN, teknolojia hizi kwa kawaida haziwakilishwi au hupunguzwa kwa matumizi ya mifumo ya kuruka-na-hop kama vile Njia inayotegemea Sera (PBR), ambayo ina uwezo wa kugawa trafiki, lakini tekeleza hili kwenye kila kipanga njia kando - bila kuchukua. kwa kuzingatia hali ya jumla ya mtandao au matokeo ya PBR katika hatua za awali au zinazofuata. Matokeo ya kutumia chaguzi hizi za TE ni ya kukatisha tamaa - MPLS TE, kwa sababu ya ugumu wa usanidi na uendeshaji, hutumiwa, kama sheria, tu katika sehemu muhimu zaidi ya mtandao (msingi), na PBR hutumiwa kwenye ruta za kibinafsi bila. uwezo wa kuunda sera iliyounganishwa ya PBR kwa mtandao mzima. Ni wazi, hii inatumika pia kwa mitandao inayotegemea DMVPN.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

SD-WAN katika suala hili inatoa suluhisho la kifahari zaidi ambalo si rahisi tu kusanidi, lakini pia mizani bora zaidi. Hii ni matokeo ya usanifu wa ndege ya kudhibiti na sera-ndege iliyotumiwa. Utekelezaji wa sera katika SD-WAN hukuruhusu kufafanua sera ya TE kutoka serikali kuu - ni trafiki gani inayokuvutia? kwa VPN zipi? Ni kupitia nodi/vichuguu gani ni muhimu au, kinyume chake, ni marufuku kuunda njia mbadala? Kwa upande wake, uwekaji wa kati wa usimamizi wa ndege kulingana na vidhibiti vya vSmart hukuruhusu kurekebisha matokeo ya uelekezaji bila kutumia mipangilio ya vifaa vya mtu binafsi - ruta tayari huona tu matokeo ya mantiki ambayo ilitolewa kwenye kiolesura cha vManage na kuhamishwa kwa matumizi. vSmart.

Huduma-mnyororo

Uundaji wa minyororo ya huduma ni kazi inayohitaji nguvu kazi nyingi zaidi katika uelekezaji wa kawaida kuliko utaratibu ulioelezewa wa Uhandisi wa Trafiki. Kwa kweli, katika kesi hii, inahitajika sio tu kuunda njia maalum ya programu maalum ya mtandao, lakini pia kuhakikisha uwezo wa kuondoa trafiki kutoka kwa mtandao kwenye nodi fulani (au zote) za mtandao wa SD-WAN kwa usindikaji na. programu au huduma maalum (Firewall, Usawazishaji, Uhifadhi, trafiki ya ukaguzi, nk). Wakati huo huo, ni muhimu kuwa na uwezo wa kudhibiti hali ya huduma hizi za nje ili kuzuia hali nyeusi-holing, na mifumo pia inahitajika ili kuruhusu huduma hizo za nje za aina moja kuwekwa katika maeneo tofauti ya kijiografia. na uwezo wa mtandao kuchagua kiotomatiki nodi ya huduma bora zaidi kwa usindikaji wa trafiki ya tawi fulani. Kwa upande wa Cisco SD-WAN, hii ni rahisi kufikia kwa kuunda sera inayofaa ya kati ambayo "huunganisha" vipengele vyote vya mlolongo wa huduma inayolengwa kuwa moja na kubadilisha moja kwa moja mantiki ya data-ndege na udhibiti wa ndege pale tu. na inapobidi.

Je, Cisco SD-WAN itakata tawi ambalo DMVPN inakaa?

Uwezo wa kuunda usindikaji wa usambazaji wa kijiografia wa trafiki ya aina zilizochaguliwa za programu katika mlolongo fulani kwenye vifaa maalum (lakini haihusiani na mtandao wa SD-WAN yenyewe) labda ni onyesho la wazi zaidi la faida za Cisco SD-WAN juu ya classic. teknolojia na hata baadhi ya ufumbuzi mbadala wa SD -WAN kutoka kwa wazalishaji wengine.

matokeo?

Ni wazi, DMVPN (pamoja na au bila Njia ya Utendaji) na Cisco SD-WAN kuishia kutatua matatizo yanayofanana sana kuhusiana na mtandao wa WAN uliosambazwa wa shirika. Wakati huo huo, tofauti kubwa za usanifu na kazi katika teknolojia ya Cisco SD-WAN husababisha mchakato wa kutatua matatizo haya. kwa kiwango kingine cha ubora. Kwa muhtasari, tunaweza kutambua tofauti kubwa zifuatazo kati ya teknolojia za SD-WAN na DMVPN/PfR:

  • DMVPN/PfR kwa ujumla utumiaji wa teknolojia zilizojaribiwa kwa wakati kwa kujenga mitandao ya VPN inayowekelea na, kwa upande wa ndege ya data, ni sawa na teknolojia ya kisasa zaidi ya SD-WAN, hata hivyo, kuna idadi ya mapungufu katika mfumo wa usanidi wa lazima wa tuli. ya ruta na uchaguzi wa topolojia ni mdogo kwa Hub-n-Spoke. Kwa upande mwingine, DMVPN/PfR ina utendakazi fulani ambao bado haupatikani ndani ya SD-WAN (tunazungumza kuhusu BFD ya kila ombi).
  • Ndani ya ndege ya kudhibiti, teknolojia hutofautiana kimsingi. Kwa kuzingatia usindikaji wa kati wa itifaki za kuashiria, SD-WAN inaruhusu, haswa, kupunguza vikoa vya kutofaulu na "kupunguza" mchakato wa kusambaza trafiki ya watumiaji kutoka kwa mwingiliano wa ishara - kutopatikana kwa vidhibiti kwa muda hakuathiri uwezo wa kusambaza trafiki ya watumiaji. . Wakati huo huo, kutokuwepo kwa muda kwa tawi lolote (ikiwa ni pamoja na moja ya kati) haiathiri kwa namna yoyote uwezo wa matawi mengine kuingiliana na kila mmoja na watawala.
  • Usanifu wa uundaji na utumiaji wa sera za usimamizi wa trafiki katika kesi ya SD-WAN pia ni bora kuliko ile ya DMVPN/PfR - uhifadhi wa kijiografia unatekelezwa vyema zaidi, hakuna muunganisho kwenye Hub, kuna fursa zaidi za kutoza faini. -kurekebisha sera, orodha ya matukio ya usimamizi wa trafiki yaliyotekelezwa pia ni kubwa zaidi.
  • Mchakato wa kuandaa suluhisho pia ni tofauti sana. DMVPN inachukua uwepo wa vigezo vilivyojulikana hapo awali ambavyo lazima vionyeshwe kwa namna fulani katika usanidi, ambayo kwa kiasi fulani hupunguza unyumbufu wa suluhisho na uwezekano wa mabadiliko ya nguvu. Kwa upande wake, SD-WAN inategemea dhana kwamba wakati wa kwanza wa unganisho, router "haijui chochote" juu ya watawala wake, lakini anajua "nani unaweza kuuliza" - hii inatosha sio tu kuanzisha mawasiliano moja kwa moja na. vidhibiti, lakini pia kuunda kiotomatiki topolojia ya ndege iliyounganishwa kikamilifu, ambayo inaweza kusanidiwa/kubadilishwa kwa urahisi kwa kutumia sera.
  • Kwa upande wa usimamizi wa kati, otomatiki na ufuatiliaji, SD-WAN inatarajiwa kuzidi uwezo wa DMVPN/PfR, ambayo imetokana na teknolojia za kitamaduni na kutegemea zaidi safu ya amri ya CLI na utumiaji wa mifumo ya NMS inayotegemea kiolezo.
  • Katika SD-WAN, ikilinganishwa na DMVPN, mahitaji ya usalama yamefikia kiwango tofauti cha ubora. Kanuni kuu ni uaminifu wa sifuri, scalability na uthibitishaji wa vipengele viwili.

Hitimisho hizi rahisi zinaweza kutoa maoni yasiyo sahihi kwamba kuunda mtandao kulingana na DMVPN/PfR kumepoteza umuhimu wote leo. Hii bila shaka si kweli kabisa. Kwa mfano, katika hali ambapo mtandao unatumia vifaa vingi vya kizamani na hakuna njia ya kuzibadilisha, DMVPN inaweza kukuwezesha kuchanganya vifaa vya "zamani" na "mpya" kwenye mtandao mmoja unaosambazwa kijiografia na faida nyingi zilizoelezwa. juu.

Kwa upande mwingine, ikumbukwe kwamba vipanga njia zote za sasa za kampuni za Cisco kulingana na IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) leo zinaunga mkono hali yoyote ya uendeshaji - uelekezaji wa kawaida na DMVPN na SD-WAN - uchaguzi umeamua na mahitaji ya sasa na ufahamu kwamba wakati wowote, kwa kutumia vifaa sawa, unaweza kuanza kuelekea teknolojia ya juu zaidi.

Chanzo: mapenzi.com

Kuongeza maoni