โปรโฮสต์ > บล็อก > การบริหาร > Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

ตั้งแต่เดือนสิงหาคม 2017 เมื่อ Cisco เข้าซื้อกิจการ Viptela เทคโนโลยีหลักที่นำเสนอสำหรับการจัดการเครือข่ายองค์กรแบบกระจายได้กลายเป็น ซิสโก้ SD-WAN. ในช่วง 3 ปีที่ผ่านมา เทคโนโลยี SD-WAN ได้ผ่านการเปลี่ยนแปลงมากมายทั้งเชิงคุณภาพและเชิงปริมาณ ดังนั้นฟังก์ชันการทำงานจึงขยายออกไปอย่างมากและมีการรองรับบนเราเตอร์คลาสสิกของซีรีส์นี้ Cisco ISR 1000, ISR 4000, ASR 1000 และ CSR เสมือน 1000v. ในขณะเดียวกัน ลูกค้าและคู่ค้าของ Cisco จำนวนมากยังคงสงสัยว่า: อะไรคือความแตกต่างระหว่าง Cisco SD-WAN และแนวทางที่คุ้นเคยอยู่แล้วซึ่งอิงตามเทคโนโลยี เช่น ซิสโก้ DMVPN и การกำหนดเส้นทางประสิทธิภาพของ Cisco และความแตกต่างเหล่านี้มีความสำคัญแค่ไหน?

ที่นี่เราควรจองทันทีว่าก่อนการถือกำเนิดของ SD-WAN ในพอร์ตโฟลิโอของ Cisco DMVPN ร่วมกับ PfR ถือเป็นส่วนสำคัญในสถาปัตยกรรม Cisco IWAN (WAN อัจฉริยะ)ซึ่งถือเป็นรุ่นก่อนของเทคโนโลยี SD-WAN เต็มรูปแบบ แม้ว่างานที่กำลังแก้ไขและวิธีการแก้ไขจะมีความคล้ายคลึงกันโดยทั่วไป แต่ IWAN ไม่เคยได้รับระดับของระบบอัตโนมัติ ความยืดหยุ่น และความสามารถในการขยายขนาดที่จำเป็นสำหรับ SD-WAN และเมื่อเวลาผ่านไป การพัฒนาของ IWAN ก็ลดลงอย่างมาก ในขณะเดียวกัน เทคโนโลยีที่ประกอบขึ้นเป็น IWAN ก็ไม่ได้หายไป และลูกค้าจำนวนมากยังคงใช้มันอย่างประสบความสำเร็จ รวมถึงบนอุปกรณ์ที่ทันสมัยด้วย เป็นผลให้เกิดสถานการณ์ที่น่าสนใจ - อุปกรณ์ Cisco เดียวกันช่วยให้คุณสามารถเลือกเทคโนโลยี WAN ที่เหมาะสมที่สุด (คลาสสิก, DMVPN+PfR หรือ SD-WAN) ตามความต้องการและความคาดหวังของลูกค้า

บทความนี้ไม่ได้ตั้งใจที่จะวิเคราะห์รายละเอียดคุณสมบัติทั้งหมดของเทคโนโลยี Cisco SD-WAN และ DMVPN (มีหรือไม่มีการกำหนดเส้นทางประสิทธิภาพ) - มีเอกสารและเอกสารจำนวนมากสำหรับสิ่งนี้ ภารกิจหลักคือการพยายามประเมินความแตกต่างที่สำคัญระหว่างเทคโนโลยีเหล่านี้ แต่ก่อนที่จะพูดถึงความแตกต่างเหล่านี้ ให้เรานึกถึงเทคโนโลยีโดยสังเขปก่อน

Cisco DMVPN คืออะไร และเหตุใดจึงจำเป็น

Cisco DMVPN แก้ปัญหาการเชื่อมต่อแบบไดนามิก (= ปรับขนาดได้) ของเครือข่ายสาขาระยะไกลกับเครือข่ายของสำนักงานกลางขององค์กร เมื่อใช้ช่องทางการสื่อสารประเภทต่างๆ รวมถึงอินเทอร์เน็ต (= ด้วยการเข้ารหัสของช่องทางการสื่อสาร) ในทางเทคนิค สิ่งนี้เกิดขึ้นได้จากการสร้างเครือข่ายซ้อนทับเสมือนจริงของคลาส L3 VPN ในโหมดจุดต่อหลายจุดด้วยโทโพโลยีแบบลอจิคัลประเภท "Star" (Hub-n-Spoke) เพื่อให้บรรลุเป้าหมายนี้ DMVPN ใช้เทคโนโลยีผสมผสานต่อไปนี้:

  • การกำหนดเส้นทางไอพี
  • อุโมงค์ GRE หลายจุด (mGRE)
  • โปรโตคอลการแก้ไข Hop ถัดไป (NHRP)
  • โปรไฟล์ IPSec Crypto

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

อะไรคือข้อได้เปรียบหลักของ Cisco DMVPN เมื่อเปรียบเทียบกับการกำหนดเส้นทางแบบคลาสสิกโดยใช้ช่องสัญญาณ MPLS VPN

  • ในการสร้างเครือข่ายระหว่างสาขา คุณสามารถใช้ช่องทางการสื่อสารใดก็ได้ - สิ่งใดก็ตามที่สามารถให้การเชื่อมต่อ IP ระหว่างสาขามีความเหมาะสม ในขณะที่การรับส่งข้อมูลจะถูกเข้ารหัส (หากจำเป็น) และสมดุล (หากเป็นไปได้)
  • โทโพโลยีที่เชื่อมต่ออย่างสมบูรณ์ระหว่างสาขาจะถูกสร้างขึ้นโดยอัตโนมัติ ในเวลาเดียวกัน มีอุโมงค์แบบคงที่ระหว่างสาขาส่วนกลางและสาขาระยะไกล และอุโมงค์แบบไดนามิกตามความต้องการระหว่างสาขาระยะไกล (หากมีการรับส่งข้อมูล)
  • เราเตอร์ของสาขาส่วนกลางและระยะไกลมีการกำหนดค่าเหมือนกันจนถึงที่อยู่ IP ของอินเทอร์เฟซ เมื่อใช้ mGRE ไม่จำเป็นต้องกำหนดค่าอุโมงค์นับสิบ ร้อย หรือแม้แต่หลายพันแยกกัน เป็นผลให้มีความสามารถในการปรับขนาดที่เหมาะสมด้วยการออกแบบที่เหมาะสม

Cisco Performance Routing คืออะไร และเหตุใดจึงจำเป็น

เมื่อใช้ DMVPN บนเครือข่ายระหว่างสาขา คำถามสำคัญอย่างยิ่งข้อหนึ่งยังคงไม่ได้รับการแก้ไข นั่นคือ วิธีประเมินสถานะของอุโมงค์ DMVPN แต่ละช่องแบบไดนามิกเพื่อให้สอดคล้องกับข้อกำหนดการรับส่งข้อมูลที่สำคัญสำหรับองค์กรของเรา และทำแบบไดนามิกอีกครั้งตามการประเมินดังกล่าว การตัดสินใจเปลี่ยนเส้นทาง? ความจริงก็คือ DMVPN ในส่วนนี้แตกต่างเล็กน้อยจากการกำหนดเส้นทางแบบคลาสสิก - สิ่งที่ดีที่สุดที่สามารถทำได้คือการกำหนดค่ากลไก QoS ที่จะช่วยให้คุณจัดลำดับความสำคัญของการรับส่งข้อมูลในทิศทางขาออก แต่ไม่สามารถคำนึงถึงสถานะของ เส้นทางทั้งหมดในคราวเดียวหรืออย่างอื่น

และจะทำอย่างไรถ้าช่องลดลงบางส่วนและไม่สมบูรณ์ - จะตรวจจับและประเมินสิ่งนี้ได้อย่างไร? DMVPN เองก็ไม่สามารถทำได้ เมื่อพิจารณาว่าช่องทางที่เชื่อมต่อสาขาสามารถผ่านผู้ให้บริการโทรคมนาคมที่แตกต่างกันโดยสิ้นเชิงโดยใช้เทคโนโลยีที่แตกต่างกันโดยสิ้นเชิง งานนี้จึงไม่ใช่เรื่องเล็กน้อยอย่างยิ่ง และนี่คือจุดที่เทคโนโลยี Cisco Performance Routing เข้ามาช่วยเหลือ ซึ่งในเวลานั้นได้ผ่านการพัฒนาหลายขั้นตอนไปแล้ว

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

งานของ Cisco Performance Routing (ต่อไปนี้จะเรียกว่า PfR) ลงมาเพื่อวัดสถานะของเส้นทาง (อุโมงค์) ของการรับส่งข้อมูลตามตัวชี้วัดหลักที่สำคัญสำหรับแอปพลิเคชันเครือข่าย - เวลาแฝง ความแปรผันของเวลาแฝง (กระวนกระวายใจ) และการสูญเสียแพ็กเก็ต (เปอร์เซ็นต์). นอกจากนี้ยังสามารถวัดแบนด์วิธที่ใช้ได้ การวัดเหล่านี้เกิดขึ้นใกล้กับเรียลไทม์มากที่สุดเท่าที่จะเป็นไปได้และสมเหตุสมผล และผลลัพธ์ของการวัดเหล่านี้ทำให้เราเตอร์ที่ใช้ PfR สามารถตัดสินใจแบบไดนามิกเกี่ยวกับความจำเป็นในการเปลี่ยนเส้นทางของการรับส่งข้อมูลประเภทนี้หรือประเภทนั้น

ดังนั้น งานของการรวม DMVPN/PfR จึงสามารถอธิบายโดยย่อได้ดังนี้:

  • อนุญาตให้ลูกค้าใช้ช่องทางการสื่อสารใด ๆ บนเครือข่าย WAN
  • รับประกันคุณภาพสูงสุดที่เป็นไปได้ของแอปพลิเคชันที่สำคัญในช่องทางเหล่านี้

Cisco SD-WAN คืออะไร

Cisco SD-WAN เป็นเทคโนโลยีที่ใช้แนวทาง SDN เพื่อสร้างและดำเนินการเครือข่าย WAN ขององค์กร โดยเฉพาะอย่างยิ่งหมายถึงการใช้สิ่งที่เรียกว่าตัวควบคุม (องค์ประกอบซอฟต์แวร์) ซึ่งจัดให้มีการจัดการแบบรวมศูนย์และการกำหนดค่าอัตโนมัติของส่วนประกอบโซลูชันทั้งหมด แตกต่างจาก Canonical SDN (สไตล์ Clean Slate) Cisco SD-WAN ใช้คอนโทรลเลอร์หลายประเภท ซึ่งแต่ละประเภททำหน้าที่ของตัวเอง ซึ่งกระทำโดยตั้งใจเพื่อให้ความสามารถในการปรับขนาดและความซ้ำซ้อนทางภูมิศาสตร์ดีขึ้น

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

ในกรณีของ SD-WAN งานในการใช้ช่องทางทุกประเภทและรับรองการทำงานของแอปพลิเคชันทางธุรกิจยังคงเหมือนเดิม แต่ในขณะเดียวกัน ข้อกำหนดสำหรับระบบอัตโนมัติ ความสามารถในการขยายขนาด ความปลอดภัย และความยืดหยุ่นของเครือข่ายดังกล่าวก็ขยายตัวมากขึ้น

การอภิปรายเกี่ยวกับความแตกต่าง

หากตอนนี้เราเริ่มวิเคราะห์ความแตกต่างระหว่างเทคโนโลยีเหล่านี้ มันจะจัดอยู่ในประเภทใดประเภทหนึ่งต่อไปนี้:

  • ความแตกต่างทางสถาปัตยกรรม - ฟังก์ชันต่างๆ มีการกระจายไปตามส่วนประกอบต่างๆ ของโซลูชันอย่างไร การโต้ตอบของส่วนประกอบดังกล่าวถูกจัดระเบียบอย่างไร และสิ่งนี้ส่งผลต่อความสามารถและความยืดหยุ่นของเทคโนโลยีอย่างไร
  • ฟังก์ชั่นการทำงาน – เทคโนโลยีหนึ่งทำอะไรได้บ้างแต่อีกเทคโนโลยีหนึ่งทำไม่ได้? และมันสำคัญขนาดนั้นจริงๆเหรอ?

ความแตกต่างทางสถาปัตยกรรมคืออะไรและมีความสำคัญหรือไม่?

เทคโนโลยีแต่ละอย่างมี "ส่วนที่เคลื่อนไหว" มากมายซึ่งไม่เพียงแต่ในบทบาทเท่านั้น แต่ยังรวมถึงวิธีการโต้ตอบระหว่างกันด้วย มีการคำนึงถึงหลักการเหล่านี้ได้ดีเพียงใด และกลไกทั่วไปของโซลูชันจะกำหนดความสามารถในการขยายขนาด ความทนทานต่อข้อผิดพลาด และประสิทธิภาพโดยรวมได้โดยตรง

มาดูรายละเอียดด้านต่างๆ ของสถาปัตยกรรมกันดีกว่า:

เครื่องบินข้อมูล – ส่วนหนึ่งของโซลูชันที่รับผิดชอบในการส่งข้อมูลการรับส่งข้อมูลของผู้ใช้ระหว่างต้นทางและผู้รับ โดยทั่วไปแล้ว DMVPN และ SD-WAN จะมีการใช้งานเหมือนกันบนเราเตอร์โดยอิงตาม Multipoint GRE tunnels ความแตกต่างคือวิธีการสร้างชุดพารามิเตอร์ที่จำเป็นสำหรับอุโมงค์เหล่านี้:

  • в DMVPN/PfR เป็นลำดับชั้นของโหนดสองระดับโดยเฉพาะที่มีโทโพโลยีแบบ Star หรือ Hub-n-Spoke จำเป็นต้องมีการกำหนดค่าแบบคงที่ของ Hub และการเชื่อมโยงแบบคงที่ของ Spoke to the Hub รวมถึงการโต้ตอบผ่านโปรโตคอล NHRP เพื่อสร้างการเชื่อมต่อระนาบข้อมูล เพราะเหตุนี้, ทำให้การเปลี่ยนแปลง Hub ยากขึ้นอย่างมากที่เกี่ยวข้อง เช่น การเปลี่ยน/เชื่อมต่อช่อง WAN ใหม่ หรือการเปลี่ยนพารามิเตอร์ของช่อง WAN ที่มีอยู่
  • в SD WAN เป็นแบบจำลองไดนามิกเต็มรูปแบบสำหรับการตรวจจับพารามิเตอร์ของอุโมงค์ที่ติดตั้งตามระนาบควบคุม (โปรโตคอล OMP) และระนาบการประสาน (การโต้ตอบกับตัวควบคุม vBond สำหรับการตรวจจับตัวควบคุมและงานการแวะผ่าน NAT) ในกรณีนี้ สามารถใช้โทโพโลยีที่ซ้อนทับใดๆ ได้ รวมถึงโทโพโลยีแบบลำดับชั้นด้วย ภายในโทโพโลยีอุโมงค์ซ้อนทับที่สร้างขึ้น การกำหนดค่าที่ยืดหยุ่นของโทโพโลยีแบบลอจิคัลในแต่ละ VPN (VRF) เป็นไปได้

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

เครื่องบินควบคุม – หน้าที่ของการแลกเปลี่ยน การกรอง และการปรับเปลี่ยนเส้นทางและข้อมูลอื่น ๆ ระหว่างส่วนประกอบของโซลูชัน

  • в DMVPN/PfR – ดำเนินการระหว่างเราเตอร์ Hub และ Spoke เท่านั้น ไม่สามารถแลกเปลี่ยนข้อมูลเส้นทางโดยตรงระหว่างซี่ล้อได้ เพราะเหตุนี้, หากไม่มีฮับที่ใช้งานได้ ระนาบควบคุมและระนาบข้อมูลจะไม่สามารถทำงานได้ซึ่งกำหนดข้อกำหนดความพร้อมใช้งานสูงเพิ่มเติมบนฮับที่ไม่สามารถตอบสนองได้เสมอไป
  • в SD WAN – ระนาบการควบคุมไม่เคยดำเนินการโดยตรงระหว่างเราเตอร์ – การโต้ตอบเกิดขึ้นบนพื้นฐานของโปรโตคอล OMP และจำเป็นต้องดำเนินการผ่านตัวควบคุม vSmart ชนิดพิเศษที่แยกจากกัน ซึ่งให้ความเป็นไปได้ในการปรับสมดุล การจองทางภูมิศาสตร์ และการควบคุมแบบรวมศูนย์ของ โหลดสัญญาณ คุณสมบัติอีกประการหนึ่งของโปรโตคอล OMP คือการต้านทานการสูญเสียและความเป็นอิสระจากความเร็วของช่องทางการสื่อสารกับตัวควบคุมอย่างมีนัยสำคัญ (ภายในขอบเขตที่สมเหตุสมผลแน่นอน) ซึ่งช่วยให้คุณวางตัวควบคุม SD-WAN ไว้ในคลาวด์สาธารณะหรือส่วนตัวได้สำเร็จไม่แพ้กันโดยสามารถเข้าถึงผ่านอินเทอร์เน็ตได้

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

นโยบายระนาบ – ส่วนหนึ่งของโซลูชันที่รับผิดชอบในการกำหนด แจกจ่าย และประยุกต์ใช้นโยบายการจัดการการรับส่งข้อมูลบนเครือข่ายแบบกระจาย

  • ดีเอ็มวีพีเอ็น – ถูกจำกัดอย่างมีประสิทธิภาพด้วยนโยบายคุณภาพของการบริการ (QoS) ที่กำหนดค่าแยกกันบนเราเตอร์แต่ละตัวผ่านเทมเพลต CLI หรือ Prime Infrastructure
  • DMVPN/PfR – นโยบาย PfR ถูกสร้างขึ้นบนเราเตอร์ Master Controller (MC) แบบรวมศูนย์ผ่าน CLI จากนั้นกระจายไปยัง MC สาขาโดยอัตโนมัติ ในกรณีนี้ จะมีการใช้เส้นทางการถ่ายโอนนโยบายเดียวกันกับระนาบข้อมูล ไม่มีความเป็นไปได้ที่จะแยกการแลกเปลี่ยนนโยบาย ข้อมูลเส้นทาง และข้อมูลผู้ใช้ออกจากกัน การเผยแพร่นโยบายจำเป็นต้องมีการเชื่อมต่อ IP ระหว่าง Hub และ Spoke ในกรณีนี้ ฟังก์ชัน MC สามารถรวมเข้ากับเราเตอร์ DMVPN ได้หากจำเป็น เป็นไปได้ (แต่ไม่จำเป็น) ที่จะใช้เทมเพลต Prime Infrastructure สำหรับการสร้างนโยบายแบบรวมศูนย์ คุณลักษณะที่สำคัญคือนโยบายดังกล่าวถูกสร้างขึ้นทั่วโลกทั่วทั้งเครือข่ายในลักษณะเดียวกัน - ไม่รองรับนโยบายส่วนบุคคลสำหรับแต่ละกลุ่ม.
  • SD WAN – การจัดการการรับส่งข้อมูลและนโยบายคุณภาพของการบริการถูกกำหนดจากส่วนกลางผ่านอินเทอร์เฟซกราฟิก Cisco vManage ซึ่งสามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต (หากจำเป็น) กระจายผ่านช่องสัญญาณโดยตรงหรือโดยอ้อมผ่านตัวควบคุม vSmart (ขึ้นอยู่กับประเภทของนโยบาย) พวกเขาไม่ได้ขึ้นอยู่กับการเชื่อมต่อระนาบข้อมูลระหว่างเราเตอร์เพราะว่า ใช้เส้นทางการรับส่งข้อมูลที่มีอยู่ทั้งหมดระหว่างตัวควบคุมและเราเตอร์

    สำหรับกลุ่มเครือข่ายที่แตกต่างกัน คุณสามารถกำหนดนโยบายที่แตกต่างกันได้อย่างยืดหยุ่น ขอบเขตของนโยบายถูกกำหนดโดยตัวระบุที่ไม่ซ้ำกันจำนวนมากที่ให้ไว้ในโซลูชัน เช่น หมายเลขสาขา ประเภทแอปพลิเคชัน ทิศทางการรับส่งข้อมูล ฯลฯ

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

Orchestration-เครื่องบิน – กลไกที่ช่วยให้ส่วนประกอบต่างๆ ตรวจจับซึ่งกันและกัน กำหนดค่า และประสานการโต้ตอบที่ตามมาได้แบบไดนามิก

  • в DMVPN/PfR การค้นพบร่วมกันระหว่างเราเตอร์จะขึ้นอยู่กับการกำหนดค่าคงที่ของอุปกรณ์ Hub และการกำหนดค่าที่สอดคล้องกันของอุปกรณ์ Spoke การค้นพบแบบไดนามิกเกิดขึ้นเฉพาะกับ Spoke ซึ่งจะรายงานพารามิเตอร์การเชื่อมต่อ Hub ไปยังอุปกรณ์ ซึ่งจะได้รับการกำหนดค่าล่วงหน้าด้วย Spoke หากไม่มีการเชื่อมต่อ IP ระหว่าง Spoke และฮับอย่างน้อยหนึ่งตัว จะไม่สามารถสร้างระนาบข้อมูลหรือระนาบควบคุมได้
  • в SD WAN การประสานส่วนประกอบของโซลูชันเกิดขึ้นโดยใช้ตัวควบคุม vBond ซึ่งแต่ละส่วนประกอบ (เราเตอร์และตัวควบคุม vManage/vSmart) จะต้องสร้างการเชื่อมต่อ IP ก่อน

    ในตอนแรก ส่วนประกอบต่างๆ จะไม่ทราบเกี่ยวกับพารามิเตอร์การเชื่อมต่อของกันและกัน - ด้วยเหตุนี้ ส่วนประกอบจึงจำเป็นต้องมีตัวจัดการตัวกลาง vBond หลักการทั่วไปมีดังนี้ - แต่ละส่วนประกอบในระยะเริ่มต้นจะเรียนรู้ (โดยอัตโนมัติหรือแบบคงที่) เฉพาะเกี่ยวกับพารามิเตอร์การเชื่อมต่อไปยัง vBond จากนั้น vBond จะแจ้งให้เราเตอร์ทราบเกี่ยวกับตัวควบคุม vManage และ vSmart (ค้นพบก่อนหน้านี้) ซึ่งทำให้สามารถสร้างได้โดยอัตโนมัติ การเชื่อมต่อสัญญาณที่จำเป็นทั้งหมด

    ขั้นตอนต่อไปคือให้เราเตอร์ใหม่เรียนรู้เกี่ยวกับเราเตอร์อื่นๆ บนเครือข่ายผ่านการสื่อสาร OMP กับตัวควบคุม vSmart ดังนั้น เราเตอร์สามารถตรวจจับและเชื่อมต่อกับคอนโทรลเลอร์ได้โดยอัตโนมัติโดยที่ไม่รู้อะไรเลยเกี่ยวกับพารามิเตอร์เครือข่ายตั้งแต่แรก จากนั้นจึงตรวจจับและสร้างการเชื่อมต่อกับเราเตอร์อื่นๆ โดยอัตโนมัติ ในกรณีนี้ ในตอนแรกไม่ทราบพารามิเตอร์การเชื่อมต่อของส่วนประกอบทั้งหมด และอาจมีการเปลี่ยนแปลงระหว่างการทำงาน

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

เครื่องบินการจัดการ – ส่วนหนึ่งของโซลูชันที่ให้การจัดการและการตรวจสอบแบบรวมศูนย์

  • DMVPN/PfR – ไม่มีโซลูชันระนาบการจัดการแบบพิเศษมาให้ สำหรับระบบอัตโนมัติขั้นพื้นฐานและการตรวจสอบ สามารถใช้ผลิตภัณฑ์ต่างๆ เช่น Cisco Prime Infrastructure ได้ เราเตอร์แต่ละตัวสามารถควบคุมผ่านบรรทัดคำสั่ง CLI ไม่มีการรวมเข้ากับระบบภายนอกผ่าน API
  • SD WAN – การโต้ตอบและการตรวจสอบปกติทั้งหมดจะดำเนินการจากส่วนกลางผ่านอินเทอร์เฟซแบบกราฟิกของตัวควบคุม vManage คุณสมบัติทั้งหมดของโซลูชัน โดยไม่มีข้อยกเว้น สามารถกำหนดค่าผ่าน vManage รวมถึงผ่านไลบรารี REST API ที่ได้รับการจัดทำเป็นเอกสารครบถ้วน

    การตั้งค่าเครือข่าย SD-WAN ทั้งหมดใน vManage มีโครงสร้างหลักสองส่วน ได้แก่ การสร้างเทมเพลตอุปกรณ์ (เทมเพลตอุปกรณ์) และการสร้างนโยบายที่กำหนดตรรกะของการทำงานของเครือข่ายและการประมวลผลการรับส่งข้อมูล ในเวลาเดียวกัน vManage ซึ่งเผยแพร่นโยบายที่สร้างโดยผู้ดูแลระบบ จะเลือกการเปลี่ยนแปลงและอุปกรณ์/คอนโทรลเลอร์แต่ละรายการโดยอัตโนมัติ ซึ่งจะเพิ่มประสิทธิภาพและความสามารถในการปรับขนาดของโซลูชันได้อย่างมาก

    ผ่านอินเทอร์เฟซ vManage ไม่เพียงแต่การกำหนดค่าโซลูชัน Cisco SD-WAN เท่านั้น แต่ยังสามารถตรวจสอบสถานะของส่วนประกอบทั้งหมดของโซลูชันได้อย่างสมบูรณ์ ไปจนถึงสถานะปัจจุบันของตัวชี้วัดสำหรับแต่ละอุโมงค์และสถิติเกี่ยวกับการใช้งานแอปพลิเคชันต่างๆ ขึ้นอยู่กับการวิเคราะห์ DPI

    แม้จะมีการรวมศูนย์ของการโต้ตอบ ส่วนประกอบทั้งหมด (ตัวควบคุมและเราเตอร์) ยังมีบรรทัดคำสั่ง CLI ที่ทำงานได้อย่างสมบูรณ์ ซึ่งจำเป็นในขั้นตอนการใช้งานหรือในกรณีฉุกเฉินสำหรับการวินิจฉัยในพื้นที่ ในโหมดปกติ (หากมีช่องสัญญาณระหว่างส่วนประกอบ) บนเราเตอร์ บรรทัดคำสั่งจะพร้อมใช้งานสำหรับการวินิจฉัยเท่านั้น และไม่พร้อมใช้งานสำหรับการเปลี่ยนแปลงในเครื่อง ซึ่งรับประกันความปลอดภัยในเครื่องและแหล่งที่มาของการเปลี่ยนแปลงเพียงแหล่งเดียวในเครือข่ายดังกล่าวคือ vManage

การรักษาความปลอดภัยแบบรวม – ที่นี่เราควรพูดถึงไม่เพียงแต่เกี่ยวกับการปกป้องข้อมูลผู้ใช้เมื่อส่งผ่านช่องทางเปิด แต่ยังเกี่ยวกับความปลอดภัยโดยรวมของเครือข่าย WAN ที่ใช้เทคโนโลยีที่เลือก

  • в DMVPN/PfR สามารถเข้ารหัสข้อมูลผู้ใช้และโปรโตคอลการส่งสัญญาณได้ เมื่อใช้เราเตอร์บางรุ่น ฟังก์ชันไฟร์วอลล์พร้อมการตรวจสอบการรับส่งข้อมูล IPS/IDS จะใช้งานได้เพิ่มเติม สามารถแบ่งกลุ่มเครือข่ายสาขาโดยใช้ VRF ได้ เป็นไปได้ที่จะตรวจสอบโปรโตคอลควบคุม (ปัจจัยเดียว)

    ในกรณีนี้ เราเตอร์ระยะไกลจะถือเป็นองค์ประกอบที่เชื่อถือได้ของเครือข่ายตามค่าเริ่มต้น เช่น กรณีของการประนีประนอมทางกายภาพของอุปกรณ์แต่ละชิ้นและความเป็นไปได้ที่จะเข้าถึงอุปกรณ์เหล่านั้นโดยไม่ได้รับอนุญาตจะไม่ถูกถือว่าหรือนำมาพิจารณา ไม่มีการรับรองความถูกต้องแบบสองปัจจัยของส่วนประกอบโซลูชันซึ่งในกรณีของเครือข่ายที่กระจายทางภูมิศาสตร์ อาจมีความเสี่ยงเพิ่มเติมที่สำคัญ

  • в SD WAN โดยการเปรียบเทียบกับ DMVPN ความสามารถในการเข้ารหัสข้อมูลผู้ใช้นั้นมีให้ แต่ด้วยการรักษาความปลอดภัยเครือข่ายที่เพิ่มขึ้นอย่างมากและฟังก์ชันการแบ่งส่วน L3/VRF (ไฟร์วอลล์, IPS/IDS, การกรอง URL, การกรอง DNS, AMP/TG, SASE, พร็อกซี TLS/SSL, ฯลฯ) ง.) ในเวลาเดียวกัน การแลกเปลี่ยนคีย์การเข้ารหัสจะดำเนินการอย่างมีประสิทธิภาพมากขึ้นผ่านตัวควบคุม vSmart (แทนที่จะโดยตรง) ผ่านช่องสัญญาณที่สร้างไว้ล่วงหน้าที่ได้รับการป้องกันโดยการเข้ารหัส DTLS/TLS ตามใบรับรองความปลอดภัย ซึ่งรับประกันความปลอดภัยของการแลกเปลี่ยนดังกล่าวและรับประกันความสามารถในการขยายขนาดที่ดีขึ้นของโซลูชันสูงสุดถึงอุปกรณ์นับหมื่นเครื่องบนเครือข่ายเดียวกัน

    การเชื่อมต่อการส่งสัญญาณทั้งหมด (คอนโทรลเลอร์ต่อคอนโทรลเลอร์ คอนโทรลเลอร์-เราเตอร์) ได้รับการปกป้องตาม DTLS/TLS เช่นกัน เราเตอร์ได้รับการติดตั้งใบรับรองความปลอดภัยระหว่างการผลิตโดยสามารถเปลี่ยน/ต่ออายุได้ การรับรองความถูกต้องด้วยสองปัจจัยทำได้โดยการปฏิบัติตามเงื่อนไขสองข้อที่บังคับและพร้อมกันเพื่อให้เราเตอร์/ตัวควบคุมทำงานในเครือข่าย SD-WAN:

    • ใบรับรองความปลอดภัยที่ถูกต้อง
    • ผู้ดูแลระบบของแต่ละส่วนประกอบรวมอยู่ในรายการอุปกรณ์ที่อนุญาตอย่างชัดเจนและตระหนักรู้

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

ความแตกต่างด้านการทำงานระหว่าง SD-WAN และ DMVPN/PfR

ในการหารือถึงความแตกต่างด้านการใช้งานควรสังเกตว่าหลายข้อเป็นสถาปัตยกรรมที่ต่อเนื่อง - ไม่มีความลับว่าเมื่อสร้างสถาปัตยกรรมของโซลูชันนักพัฒนาจะเริ่มต้นจากความสามารถที่พวกเขาต้องการได้รับในท้ายที่สุด มาดูความแตกต่างที่สำคัญที่สุดระหว่างเทคโนโลยีทั้งสองกัน

AppQ (Application Quality) – ฟังก์ชันที่รับประกันคุณภาพของการรับส่งข้อมูลของแอปพลิเคชันทางธุรกิจ

ฟังก์ชั่นหลักของเทคโนโลยีที่อยู่ระหว่างการพิจารณามีวัตถุประสงค์เพื่อปรับปรุงประสบการณ์ผู้ใช้ให้มากที่สุดเท่าที่จะเป็นไปได้เมื่อใช้แอปพลิเคชันที่สำคัญทางธุรกิจในเครือข่ายแบบกระจาย นี่เป็นสิ่งสำคัญอย่างยิ่งในสภาวะที่ส่วนหนึ่งของโครงสร้างพื้นฐานไม่ได้ถูกควบคุมโดยฝ่ายไอที หรือไม่รับประกันว่าการถ่ายโอนข้อมูลจะสำเร็จด้วยซ้ำ

DMVPN ไม่ได้มีกลไกดังกล่าวให้ สิ่งที่ดีที่สุดที่สามารถทำได้ในเครือข่าย DMVPN แบบคลาสสิกคือการจำแนกการรับส่งข้อมูลขาออกตามแอปพลิเคชัน และจัดลำดับความสำคัญเมื่อส่งไปยังช่องทาง WAN ทางเลือกของทันเนล DMVPN นั้นพิจารณาจากความพร้อมใช้งานและผลลัพธ์ของการทำงานของโปรโตคอลการกำหนดเส้นทางเท่านั้น ในเวลาเดียวกัน สถานะจากต้นทางถึงปลายทางของเส้นทาง/อุโมงค์และการเสื่อมสภาพบางส่วนที่เป็นไปได้จะไม่ถูกนำมาพิจารณาในแง่ของตัวชี้วัดหลักที่มีนัยสำคัญสำหรับแอปพลิเคชันเครือข่าย - ความล่าช้า การแปรผันของความล่าช้า (กระวนกระวายใจ) และการสูญเสีย (% ). ในเรื่องนี้การเปรียบเทียบ DMVPN แบบคลาสสิกกับ SD-WAN โดยตรงในแง่ของการแก้ปัญหา AppQ สูญเสียความหมายทั้งหมด - DMVPN ไม่สามารถแก้ปัญหานี้ได้ เมื่อคุณเพิ่มเทคโนโลยี Cisco Performance Routing (PfR) ลงในบริบทนี้ สถานการณ์จะเปลี่ยนไปและการเปรียบเทียบกับ Cisco SD-WAN จะมีความหมายมากขึ้น

ก่อนที่เราจะพูดถึงความแตกต่าง ต่อไปนี้มาดูคร่าวๆ ว่าเทคโนโลยีมีความคล้ายคลึงกันอย่างไร ดังนั้นทั้งสองเทคโนโลยี:

  • มีกลไกที่ช่วยให้คุณสามารถประเมินสถานะของอุโมงค์ที่สร้างขึ้นแต่ละแห่งแบบไดนามิกในแง่ของตัวชี้วัดบางอย่าง - อย่างน้อยที่สุด ความล่าช้า การเปลี่ยนแปลงล่าช้า และการสูญเสียแพ็กเก็ต (%)
  • ใช้ชุดเครื่องมือเฉพาะเพื่อสร้าง แจกจ่าย และใช้กฎการจัดการจราจร (นโยบาย) โดยคำนึงถึงผลลัพธ์ของการวัดสถานะของเมตริกอุโมงค์หลัก
  • จำแนกการรับส่งข้อมูลแอปพลิเคชันในระดับ L3-L4 (DSCP) ของโมเดล OSI หรือตามลายเซ็นแอปพลิเคชัน L7 ตามกลไก DPI ที่สร้างไว้ในเราเตอร์
  • สำหรับแอปพลิเคชันที่สำคัญ อนุญาตให้คุณกำหนดค่าเกณฑ์ที่ยอมรับได้ของเมตริก กฎสำหรับการส่งข้อมูลการรับส่งข้อมูลตามค่าเริ่มต้น และกฎสำหรับการกำหนดเส้นทางการรับส่งข้อมูลใหม่เมื่อเกินค่าเกณฑ์
  • เมื่อห่อหุ้มการรับส่งข้อมูลใน GRE/IPSec พวกเขาใช้กลไกทางอุตสาหกรรมที่กำหนดไว้แล้วสำหรับการถ่ายโอนเครื่องหมาย DSCP ภายในไปยังส่วนหัวของแพ็กเก็ต GRE/IPSEC ภายนอก ซึ่งช่วยให้สามารถซิงโครไนซ์นโยบาย QoS ขององค์กรและผู้ให้บริการโทรคมนาคม (หากมี SLA ที่เหมาะสม) .

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

ตัววัด end-to-end ของ SD-WAN และ DMVPN/PfR แตกต่างกันอย่างไร

DMVPN/PfR

  • ทั้งเซ็นเซอร์ซอฟต์แวร์แบบแอคทีฟและพาสซีฟ (โพรบ) ใช้เพื่อประเมินตัววัดความสมบูรณ์ของอุโมงค์มาตรฐาน รายการที่ใช้งานอยู่จะขึ้นอยู่กับปริมาณการใช้งานของผู้ใช้ ส่วนรายการที่ไม่โต้ตอบจะเลียนแบบปริมาณข้อมูลดังกล่าว (ในกรณีที่ไม่มี)
  • ไม่มีการปรับแต่งตัวจับเวลาและเงื่อนไขการตรวจจับการเสื่อมสภาพอย่างละเอียด - อัลกอริธึมได้รับการแก้ไขแล้ว
  • นอกจากนี้ยังมีการวัดแบนด์วิธที่ใช้ในทิศทางขาออกอีกด้วย ซึ่งเพิ่มความยืดหยุ่นในการจัดการการรับส่งข้อมูลเพิ่มเติมให้กับ DMVPN/PfR
  • ในเวลาเดียวกัน กลไก PfR บางอย่าง เมื่อเกินเกณฑ์ชี้วัด อาศัยการส่งสัญญาณตอบรับในรูปแบบของข้อความ TCA พิเศษ (Threshold Crossing Alert) ที่ต้องมาจากผู้รับการรับส่งข้อมูลไปยังแหล่งที่มา ซึ่งจะสันนิษฐานว่าสถานะของ ช่องทางที่วัดได้ควรมีเพียงพอสำหรับการส่งข้อความ TCA ดังกล่าวเป็นอย่างน้อย ซึ่งโดยส่วนใหญ่แล้วจะไม่เป็นปัญหาแต่ไม่สามารถรับประกันได้อย่างชัดเจน

SD WAN

  • สำหรับการประเมินแบบ end-to-end ของตัววัดสถานะทันเนลมาตรฐาน โปรโตคอล BFD จะถูกใช้ในโหมดเสียงก้อง ในกรณีนี้ ไม่จำเป็นต้องมีข้อเสนอแนะพิเศษในรูปแบบของ TCA หรือข้อความที่คล้ายกัน - ยังคงการแยกโดเมนที่ล้มเหลวไว้ นอกจากนี้ยังไม่จำเป็นต้องมีการรับส่งข้อมูลของผู้ใช้เพื่อประเมินสถานะทันเนล
  • คุณสามารถปรับแต่งตัวจับเวลา BFD อย่างละเอียดเพื่อควบคุมความเร็วการตอบสนองและความไวของอัลกอริธึมต่อการลดประสิทธิภาพของช่องทางการสื่อสารจากหลายวินาทีเป็นนาที

    Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

  • ในขณะที่เขียน มีเซสชัน BFD เพียงเซสชันเดียวในแต่ละอุโมงค์ สิ่งนี้อาจสร้างรายละเอียดน้อยลงในการวิเคราะห์สถานะทันเนล ในความเป็นจริง สิ่งนี้จะกลายเป็นข้อจำกัดได้หากคุณใช้การเชื่อมต่อ WAN ที่ใช้ MPLS L2/L3 VPN พร้อมด้วย QoS SLA ที่ตกลงกันไว้ - หากเครื่องหมาย DSCP ของการรับส่งข้อมูล BFD (หลังการห่อหุ้มใน IPSec/GRE) ตรงกับคิวที่มีลำดับความสำคัญสูงใน เครือข่ายของผู้ให้บริการโทรคมนาคม ซึ่งอาจส่งผลต่อความแม่นยำและความเร็วของการตรวจจับการเสื่อมสภาพสำหรับการรับส่งข้อมูลที่มีลำดับความสำคัญต่ำ ในเวลาเดียวกัน คุณสามารถเปลี่ยนการติดฉลาก BFD เริ่มต้นเพื่อลดความเสี่ยงของสถานการณ์ดังกล่าวได้ ในซอฟต์แวร์ Cisco SD-WAN เวอร์ชันอนาคต คาดว่าจะมีการตั้งค่า BFD ที่ได้รับการปรับแต่งเพิ่มเติม รวมถึงความสามารถในการเปิดเซสชัน BFD หลายเซสชันภายในอุโมงค์เดียวกันด้วยค่า DSCP แต่ละรายการ (สำหรับแอปพลิเคชันที่แตกต่างกัน)
  • BFD ยังช่วยให้คุณสามารถประมาณขนาดแพ็กเก็ตสูงสุดที่สามารถส่งผ่านอุโมงค์เฉพาะได้โดยไม่มีการกระจายตัว ซึ่งช่วยให้ SD-WAN สามารถปรับพารามิเตอร์แบบไดนามิก เช่น MTU และ TCP MSS Adjust เพื่อใช้ประโยชน์สูงสุดจากแบนด์วิดท์ที่มีอยู่ในแต่ละลิงก์
  • ใน SD-WAN ตัวเลือกของการซิงโครไนซ์ QoS จากผู้ให้บริการโทรคมนาคมก็มีให้เลือกใช้เช่นกัน ไม่เพียงแต่ขึ้นอยู่กับฟิลด์ L3 DSCP แต่ยังขึ้นอยู่กับค่า L2 CoS ซึ่งสามารถสร้างโดยอัตโนมัติในเครือข่ายสาขาโดยอุปกรณ์พิเศษ - ตัวอย่างเช่น IP โทรศัพท์

ความสามารถ วิธีการกำหนด และการใช้นโยบาย AppQ แตกต่างกันอย่างไร

นโยบาย DMVPN/PfR:

  • กำหนดบนเราเตอร์สาขากลางผ่านทางบรรทัดคำสั่ง CLI หรือเทมเพลตการกำหนดค่า CLI การสร้างเทมเพลต CLI ต้องมีการเตรียมการและความรู้เกี่ยวกับไวยากรณ์นโยบาย

    Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

  • กำหนดไว้ทั่วโลก โดยไม่มีความเป็นไปได้ในการกำหนดค่าส่วนบุคคล/การเปลี่ยนแปลงข้อกำหนดของแต่ละส่วนเครือข่าย
  • การสร้างนโยบายเชิงโต้ตอบไม่ได้ระบุไว้ในอินเทอร์เฟซแบบกราฟิก
  • ไม่มีการติดตามการเปลี่ยนแปลง การสืบทอด และการสร้างนโยบายหลายเวอร์ชันเพื่อการสลับอย่างรวดเร็ว
  • กระจายโดยอัตโนมัติไปยังเราเตอร์ของสาขาระยะไกล ในกรณีนี้จะใช้ช่องทางการสื่อสารเดียวกันในการส่งข้อมูลผู้ใช้ หากไม่มีช่องทางการสื่อสารระหว่างสาขาส่วนกลางและสาขาระยะไกล จะไม่สามารถเผยแพร่/เปลี่ยนแปลงนโยบายได้
  • ใช้กับเราเตอร์แต่ละตัวและหากจำเป็นให้แก้ไขผลลัพธ์ของโปรโตคอลการกำหนดเส้นทางมาตรฐานโดยมีลำดับความสำคัญสูงกว่า
  • ในกรณีที่ลิงก์ WAN ทุกสาขาประสบกับการสูญเสียการรับส่งข้อมูลอย่างมาก ไม่มีกลไกการชดเชยให้.

นโยบาย SD-WAN:

  • กำหนดใน vManage GUI ผ่านตัวช่วยสร้างเทมเพลตเชิงโต้ตอบ
  • รองรับการสร้างนโยบายหลายรายการ การคัดลอก การสืบทอด การสลับระหว่างนโยบายแบบเรียลไทม์
  • รองรับการตั้งค่านโยบายส่วนบุคคลสำหรับส่วนเครือข่ายที่แตกต่างกัน (สาขา)
  • กระจายโดยใช้ช่องสัญญาณใดๆ ที่มีอยู่ระหว่างตัวควบคุมและเราเตอร์ และ/หรือ vSmart - ไม่ต้องขึ้นอยู่กับการเชื่อมต่อระนาบข้อมูลโดยตรงระหว่างเราเตอร์ แน่นอนว่าสิ่งนี้จำเป็นต้องมีการเชื่อมต่อ IP ระหว่างเราเตอร์กับคอนโทรลเลอร์

    Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

  • สำหรับกรณีที่สาขาที่มีอยู่ทั้งหมดของสาขาประสบกับการสูญเสียข้อมูลอย่างมีนัยสำคัญเกินเกณฑ์ที่ยอมรับได้สำหรับแอปพลิเคชันที่สำคัญ คุณสามารถใช้กลไกเพิ่มเติมที่เพิ่มความน่าเชื่อถือในการส่งข้อมูล:
    • FEC (แก้ไขข้อผิดพลาดไปข้างหน้า) – ใช้อัลกอริธึมการเข้ารหัสซ้ำซ้อนพิเศษ เมื่อส่งข้อมูลการรับส่งข้อมูลที่สำคัญผ่านช่องทางที่มีเปอร์เซ็นต์การสูญเสียที่มีนัยสำคัญ FEC สามารถเปิดใช้งานได้โดยอัตโนมัติและอนุญาตให้กู้คืนส่วนที่สูญหายของข้อมูลที่สูญหายหากจำเป็น สิ่งนี้จะเพิ่มแบนด์วิดท์การรับส่งข้อมูลที่ใช้เล็กน้อย แต่ปรับปรุงความน่าเชื่อถือได้อย่างมาก

      Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

    • การทำสำเนาสตรีมข้อมูล – นอกเหนือจาก FEC แล้ว นโยบายยังสามารถจัดให้มีการทำซ้ำการรับส่งข้อมูลของแอปพลิเคชันที่เลือกโดยอัตโนมัติ ในกรณีที่มีระดับการสูญเสียที่ร้ายแรงยิ่งกว่านั้นซึ่ง FEC ไม่สามารถชดเชยได้ ในกรณีนี้ ข้อมูลที่เลือกจะถูกส่งผ่านอุโมงค์ทั้งหมดไปยังสาขาที่ได้รับพร้อมกับการขจัดข้อมูลซ้ำซ้อนในภายหลัง (ปล่อยสำเนาแพ็กเก็ตเพิ่มเติม) กลไกนี้เพิ่มการใช้ช่องทางอย่างมาก แต่ยังเพิ่มความน่าเชื่อถือในการส่งสัญญาณอย่างมากอีกด้วย

ความสามารถของ Cisco SD-WAN โดยไม่ต้องใช้อะนาล็อกโดยตรงใน DMVPN/PfR

สถาปัตยกรรมของโซลูชัน Cisco SD-WAN ในบางกรณีช่วยให้คุณได้รับความสามารถที่ยากอย่างยิ่งที่จะนำไปใช้ภายใน DMVPN/PfR หรือทำไม่ได้เนื่องจากต้นทุนแรงงานที่จำเป็น หรือเป็นไปไม่ได้เลย ลองดูสิ่งที่น่าสนใจที่สุด:

วิศวกรรมจราจร (TE)

TE มีกลไกที่อนุญาตให้การรับส่งข้อมูลแยกออกจากเส้นทางมาตรฐานที่เกิดจากโปรโตคอลการกำหนดเส้นทาง TE มักใช้เพื่อให้แน่ใจว่ามีความพร้อมใช้งานสูงของบริการเครือข่าย ผ่านความสามารถในการถ่ายโอนการรับส่งข้อมูลที่สำคัญอย่างรวดเร็วและ/หรือเชิงรุกไปยังเส้นทางการส่งข้อมูลอื่น (ที่ไม่ต่อเนื่องกัน) เพื่อให้มั่นใจในคุณภาพของบริการที่ดีขึ้นหรือความเร็วในการกู้คืนในกรณีที่เกิดความล้มเหลว บนเส้นทางหลัก

ความยากในการนำ TE ไปใช้นั้นอยู่ที่ความจำเป็นในการคำนวณและสำรอง (ตรวจสอบ) เส้นทางอื่นไว้ล่วงหน้า ในเครือข่าย MPLS ของผู้ให้บริการโทรคมนาคม ปัญหานี้ได้รับการแก้ไขโดยใช้เทคโนโลยี เช่น MPLS Traffic-Engineering พร้อมส่วนขยายของโปรโตคอล IGP และโปรโตคอล RSVP นอกจากนี้ เมื่อเร็วๆ นี้ เทคโนโลยี Segment Routing ซึ่งได้รับการปรับให้เหมาะสมมากขึ้นสำหรับการกำหนดค่าและการประสานงานแบบรวมศูนย์ ก็ได้รับความนิยมเพิ่มมากขึ้น ในเครือข่าย WAN แบบคลาสสิก เทคโนโลยีเหล่านี้มักจะไม่ได้นำเสนอหรือลดเหลือเพียงการใช้กลไกแบบ hop-by-hop เช่น Policy-Based Routing (PBR) ซึ่งสามารถแยกการรับส่งข้อมูลได้ แต่ปรับใช้กับเราเตอร์แต่ละตัวแยกกัน - โดยไม่ต้องใช้ โดยคำนึงถึงสถานะโดยรวมของเครือข่ายหรือ PBR ที่เกิดขึ้นในขั้นตอนก่อนหน้าหรือขั้นตอนถัดไป ผลลัพธ์ของการใช้ตัวเลือก TE เหล่านี้น่าผิดหวัง - ตามกฎแล้วจะใช้ MPLS TE เนื่องจากความซับซ้อนของการกำหนดค่าและการทำงานเฉพาะในส่วนที่สำคัญที่สุดของเครือข่าย (คอร์) และ PBR ถูกใช้กับเราเตอร์แต่ละตัวโดยไม่มี ความสามารถในการสร้างนโยบาย PBR แบบรวมสำหรับเครือข่ายทั้งหมด แน่นอนว่าสิ่งนี้ใช้ได้กับเครือข่ายที่ใช้ DMVPN ด้วย

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

SD-WAN ในเรื่องนี้นำเสนอโซลูชันที่หรูหรากว่ามาก ซึ่งไม่เพียงแต่กำหนดค่าได้ง่าย แต่ยังปรับขนาดได้ดีขึ้นมากอีกด้วย นี่เป็นผลมาจากการใช้สถาปัตยกรรมระนาบควบคุมและระนาบนโยบาย การใช้ระนาบนโยบายใน SD-WAN ช่วยให้คุณสามารถกำหนดนโยบาย TE จากส่วนกลางได้ - การรับส่งข้อมูลใดที่น่าสนใจ VPN ตัวไหน? จำเป็นต้องใช้โหนด/อุโมงค์ใด หรือในทางกลับกัน ห้ามสร้างเส้นทางอื่น ในทางกลับกัน การรวมศูนย์ของการจัดการระนาบควบคุมโดยใช้ตัวควบคุม vSmart ช่วยให้คุณสามารถแก้ไขผลลัพธ์การกำหนดเส้นทางโดยไม่ต้องอาศัยการตั้งค่าของอุปกรณ์แต่ละตัว - เราเตอร์จะเห็นเฉพาะผลลัพธ์ของตรรกะที่สร้างขึ้นในอินเทอร์เฟซ vManage และถ่ายโอนเพื่อใช้งาน วีสมาร์ท

บริการลูกโซ่

การสร้างห่วงโซ่บริการเป็นงานที่ต้องใช้แรงงานมากในการกำหนดเส้นทางแบบคลาสสิกมากกว่ากลไกวิศวกรรมจราจรที่อธิบายไว้แล้ว ในกรณีนี้ จำเป็นไม่เพียงแต่จะต้องสร้างเส้นทางพิเศษสำหรับแอปพลิเคชันเครือข่ายเฉพาะเท่านั้น แต่ยังต้องแน่ใจว่าสามารถลบการรับส่งข้อมูลออกจากเครือข่ายบนโหนดบางโหนด (หรือทั้งหมด) ของเครือข่าย SD-WAN เพื่อประมวลผลโดย แอปพลิเคชันหรือบริการพิเศษ (ไฟร์วอลล์, การปรับสมดุล, การแคช, การตรวจสอบการรับส่งข้อมูล ฯลฯ) ในเวลาเดียวกัน จำเป็นต้องสามารถควบคุมสถานะของบริการภายนอกเหล่านี้ได้ เพื่อป้องกันสถานการณ์หลุมดำ และจำเป็นต้องมีกลไกที่อนุญาตให้บริการภายนอกประเภทเดียวกันดังกล่าวถูกวางในตำแหน่งทางภูมิศาสตร์ที่ต่างกัน ด้วยความสามารถของเครือข่ายในการเลือกโหนดบริการที่เหมาะสมที่สุดสำหรับการประมวลผลการรับส่งข้อมูลของสาขาเฉพาะโดยอัตโนมัติ ในกรณีของ Cisco SD-WAN สิ่งนี้ค่อนข้างง่ายที่จะบรรลุผลโดยการสร้างนโยบายแบบรวมศูนย์ที่เหมาะสมซึ่ง "ประสาน" ทุกแง่มุมของห่วงโซ่บริการเป้าหมายให้เป็นหนึ่งเดียวและเปลี่ยนตรรกะของระนาบข้อมูลและตรรกะของระนาบควบคุมโดยอัตโนมัติเฉพาะในกรณีที่ และเมื่อจำเป็น

Cisco SD-WAN จะตัดสาขาที่ DMVPN ตั้งอยู่หรือไม่

ความสามารถในการสร้างการประมวลผลทราฟฟิกแบบกระจายทางภูมิศาสตร์ของแอปพลิเคชันบางประเภทในลำดับที่แน่นอนบนอุปกรณ์พิเศษ (แต่ไม่เกี่ยวข้องกับเครือข่าย SD-WAN) อาจเป็นการแสดงที่ชัดเจนที่สุดถึงข้อดีของ Cisco SD-WAN ที่เหนือกว่าแบบคลาสสิก เทคโนโลยีและแม้แต่โซลูชัน SD ทางเลือก -WAN จากผู้ผลิตรายอื่น

ผลหรือไม่

แน่นอนว่าทั้ง DMVPN (มีหรือไม่มีการกำหนดเส้นทางประสิทธิภาพ) และ Cisco SD-WAN จบลงด้วยการแก้ปัญหาที่คล้ายกันมาก ที่เกี่ยวข้องกับเครือข่าย WAN แบบกระจายขององค์กร ในเวลาเดียวกัน ความแตกต่างทางสถาปัตยกรรมและการทำงานที่สำคัญในเทคโนโลยี Cisco SD-WAN นำไปสู่กระบวนการแก้ไขปัญหาเหล่านี้ ไปอีกระดับคุณภาพ. โดยสรุป เราสามารถสังเกตความแตกต่างที่สำคัญระหว่างเทคโนโลยี SD-WAN และ DMVPN/PfR ต่อไปนี้:

  • DMVPN/PfR ในการใช้งานทั่วไปในเทคโนโลยีที่ผ่านการทดสอบตามเวลาสำหรับการสร้างเครือข่าย VPN แบบซ้อนทับ และในแง่ของระนาบข้อมูลนั้นคล้ายคลึงกับเทคโนโลยี SD-WAN ที่ทันสมัยกว่า อย่างไรก็ตาม มีข้อจำกัดหลายประการในรูปแบบของการกำหนดค่าคงที่แบบบังคับ ของเราเตอร์และตัวเลือกโทโพโลยีนั้นจำกัดอยู่ที่ Hub-n-Spoke ในทางกลับกัน DMVPN/PfR มีฟังก์ชันบางอย่างที่ยังไม่พร้อมใช้งานภายใน SD-WAN (เรากำลังพูดถึง BFD ต่อแอปพลิเคชัน)
  • ภายในระนาบควบคุม เทคโนโลยีจะมีความแตกต่างกันโดยพื้นฐาน โดยคำนึงถึงการประมวลผลโปรโตคอลการส่งสัญญาณแบบรวมศูนย์ โดยเฉพาะอย่างยิ่ง SD-WAN ช่วยให้จำกัดโดเมนความล้มเหลวให้แคบลงอย่างมาก และ "แยก" กระบวนการในการส่งข้อมูลการรับส่งข้อมูลของผู้ใช้จากการโต้ตอบการส่งสัญญาณ - ความไม่พร้อมใช้งานชั่วคราวของตัวควบคุมไม่ส่งผลกระทบต่อความสามารถในการส่งการรับส่งข้อมูลของผู้ใช้ . ในเวลาเดียวกัน ความไม่พร้อมใช้งานชั่วคราวของสาขาใด ๆ (รวมถึงสาขากลาง) จะไม่ส่งผลกระทบต่อความสามารถของสาขาอื่นในการโต้ตอบระหว่างกันและผู้ควบคุม แต่อย่างใด
  • สถาปัตยกรรมสำหรับการจัดทำและการประยุกต์ใช้นโยบายการจัดการการรับส่งข้อมูลในกรณีของ SD-WAN นั้นเหนือกว่าใน DMVPN/PfR เช่นกัน - มีการนำไปใช้การจองทางภูมิศาสตร์ที่ดีกว่ามาก ไม่มีการเชื่อมต่อกับฮับ มีโอกาสมากขึ้นในการแก้ไข - นโยบายการปรับแต่ง รายการสถานการณ์การจัดการการรับส่งข้อมูลที่นำไปใช้นั้นมีขนาดใหญ่กว่ามากเช่นกัน
  • กระบวนการประสานโซลูชันก็มีความแตกต่างกันอย่างมากเช่นกัน DMVPN ถือว่ามีพารามิเตอร์ที่รู้จักก่อนหน้านี้ซึ่งจะต้องสะท้อนให้เห็นในการกำหนดค่าซึ่งค่อนข้างจำกัดความยืดหยุ่นของโซลูชันและความเป็นไปได้ของการเปลี่ยนแปลงแบบไดนามิก ในทางกลับกัน SD-WAN ขึ้นอยู่กับกระบวนทัศน์ที่ในช่วงเริ่มต้นของการเชื่อมต่อเราเตอร์ "ไม่รู้อะไรเลย" เกี่ยวกับคอนโทรลเลอร์ แต่รู้ว่า "คุณสามารถถามใครได้บ้าง" - นี่เพียงพอแล้วไม่เพียงสร้างการสื่อสารด้วยโดยอัตโนมัติเท่านั้น แต่ยังสร้างโทโพโลยีระนาบข้อมูลที่เชื่อมต่ออย่างสมบูรณ์โดยอัตโนมัติ ซึ่งสามารถกำหนดค่า/เปลี่ยนแปลงได้อย่างยืดหยุ่นโดยใช้นโยบาย
  • ในแง่ของการจัดการแบบรวมศูนย์ ระบบอัตโนมัติ และการตรวจสอบ SD-WAN คาดว่าจะเกินความสามารถของ DMVPN/PfR ซึ่งพัฒนามาจากเทคโนโลยีคลาสสิก และพึ่งพาบรรทัดคำสั่ง CLI และการใช้ระบบ NMS ที่ใช้เทมเพลตอย่างมาก
  • ใน SD-WAN เมื่อเปรียบเทียบกับ DMVPN ข้อกำหนดด้านความปลอดภัยมีถึงระดับคุณภาพที่แตกต่างกัน หลักการสำคัญคือ Zero Trust, ความสามารถในการปรับขนาด และการตรวจสอบสิทธิ์แบบสองปัจจัย

ข้อสรุปง่ายๆ เหล่านี้อาจทำให้เข้าใจผิดว่าการสร้างเครือข่ายตาม DMVPN/PfR ได้สูญเสียความเกี่ยวข้องทั้งหมดไปในปัจจุบัน แน่นอนว่านี่ไม่เป็นความจริงทั้งหมด ตัวอย่างเช่น ในกรณีที่เครือข่ายใช้อุปกรณ์ที่ล้าสมัยจำนวนมากและไม่มีวิธีใดที่จะแทนที่ได้ DMVPN สามารถอนุญาตให้คุณรวมอุปกรณ์ "เก่า" และ "ใหม่" ไว้ในเครือข่ายกระจายทางภูมิศาสตร์เครือข่ายเดียวพร้อมข้อดีหลายประการที่อธิบายไว้ ข้างบน.

ในทางกลับกัน ควรจำไว้ว่าเราเตอร์องค์กร Cisco ปัจจุบันทั้งหมดที่ใช้ IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) ในปัจจุบันรองรับโหมดการทำงานใด ๆ - ทั้งการกำหนดเส้นทางแบบคลาสสิกและ DMVPN และ SD-WAN - ทางเลือกจะขึ้นอยู่กับความต้องการในปัจจุบันและความเข้าใจว่าเมื่อใดก็ได้โดยใช้อุปกรณ์เดียวกัน คุณสามารถเริ่มก้าวไปสู่เทคโนโลยีขั้นสูงมากขึ้นได้

ที่มา: will.com

เพิ่มความคิดเห็น