ProHoster > Blog > Pangangasiwa > Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Mula noong Agosto 2017, nang makuha ng Cisco ang Viptela, ang pangunahing teknolohiyang inaalok para sa pag-aayos ng mga distributed enterprise network ay naging Cisco SD-WAN. Sa nakalipas na 3 taon, ang teknolohiya ng SD-WAN ay dumaan sa maraming pagbabago, parehong qualitative at quantitative. Kaya, ang pag-andar ay lumawak nang malaki at ang suporta ay lumitaw sa mga klasikong router ng serye Cisco ISR 1000, ISR 4000, ASR 1000 at Virtual CSR 1000v. Kasabay nito, maraming mga customer at kasosyo ng Cisco ang patuloy na nagtataka: ano ang mga pagkakaiba sa pagitan ng Cisco SD-WAN at pamilyar na mga diskarte batay sa mga teknolohiya tulad ng Cisco DMVPN ΠΈ Pagruruta ng Pagganap ng Cisco at gaano kahalaga ang mga pagkakaibang ito?

Dito dapat tayong agad na gumawa ng reserbasyon na bago ang pagdating ng SD-WAN sa portfolio ng Cisco, ang DMVPN kasama ang PfR ay bumubuo ng isang mahalagang bahagi sa arkitektura Cisco IWAN (Intelligent WAN), na siya namang hinalinhan ng ganap na teknolohiya ng SD-WAN. Sa kabila ng pangkalahatang pagkakapareho ng parehong mga gawain na niresolba at ang mga pamamaraan para sa paglutas ng mga ito, hindi kailanman natanggap ng IWAN ang antas ng automation, flexibility at scalability na kinakailangan para sa SD-WAN, at sa paglipas ng panahon, ang pagbuo ng IWAN ay makabuluhang nabawasan. Kasabay nito, ang mga teknolohiyang bumubuo sa IWAN ay hindi nawala, at maraming mga customer ang patuloy na matagumpay na ginagamit ang mga ito, kabilang ang mga modernong kagamitan. Bilang resulta, lumitaw ang isang kawili-wiling sitwasyon - ang parehong kagamitan ng Cisco ay nagpapahintulot sa iyo na pumili ng pinaka-angkop na teknolohiya ng WAN (classic, DMVPN+PfR o SD-WAN) alinsunod sa mga kinakailangan at inaasahan ng mga customer.

Ang artikulo ay hindi nagnanais na pag-aralan nang detalyado ang lahat ng mga tampok ng Cisco SD-WAN at DMVPN na mga teknolohiya (mayroon o walang Performance Routing) - mayroong isang malaking halaga ng magagamit na mga dokumento at materyales para dito. Ang pangunahing gawain ay subukang suriin ang mga pangunahing pagkakaiba sa pagitan ng mga teknolohiyang ito. Ngunit bago magpatuloy sa pagtalakay sa mga pagkakaibang ito, alalahanin natin ang mga teknolohiya mismo.

Ano ang Cisco DMVPN at bakit ito kailangan?

Niresolba ng Cisco DMVPN ang problema ng dynamic (= scalable) na koneksyon ng isang remote branch network sa network ng central office ng isang enterprise kapag gumagamit ng mga di-makatwirang uri ng mga channel ng komunikasyon, kabilang ang Internet (= na may pag-encrypt ng channel ng komunikasyon). Sa teknikal, ito ay naisasakatuparan sa pamamagitan ng paglikha ng virtualized na overlay na network ng klase ng L3 VPN sa point-to-multipoint mode na may lohikal na topology ng uri ng "Star" (Hub-n-Spoke). Upang makamit ito, gumagamit ang DMVPN ng kumbinasyon ng mga sumusunod na teknolohiya:

  • Pagruruta ng IP
  • Multipoint GRE tunnels (mGRE)
  • Susunod na Hop Resolution Protocol (NHRP)
  • Mga profile ng IPSec Crypto

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Ano ang mga pangunahing bentahe ng Cisco DMVPN kumpara sa klasikong pagruruta gamit ang mga channel ng MPLS VPN?

  • Upang lumikha ng isang interbranch network, posible na gumamit ng anumang mga channel ng komunikasyon - anumang bagay na maaaring magbigay ng koneksyon sa IP sa pagitan ng mga sangay ay angkop, habang ang trapiko ay mai-encrypt (kung kinakailangan) at balanse (kung posible)
  • Ang isang ganap na konektadong topology sa pagitan ng mga sangay ay awtomatikong nabuo. Kasabay nito, may mga static na tunnel sa pagitan ng central at remote branch, at dynamic na tunnels on demand sa pagitan ng remote branch (kung may traffic)
  • Ang mga router ng central at remote branch ay may parehong configuration hanggang sa mga IP address ng mga interface. Sa pamamagitan ng paggamit ng mGRE, hindi na kailangang isa-isang i-configure ang sampu, daan-daan, o kahit libu-libong tunnel. Bilang resulta, disenteng scalability na may tamang disenyo.

Ano ang Cisco Performance Routing at bakit ito kailangan?

Kapag gumagamit ng DMVPN sa isang interbranch network, isang napakahalagang tanong ang nananatiling hindi nalutas - kung paano dynamic na masuri ang estado ng bawat isa sa mga DMVPN tunnel para sa pagsunod sa mga kinakailangan ng trapiko na kritikal para sa aming organisasyon at, muli, batay sa naturang pagtatasa, dynamic na gumawa isang desisyon sa rerouting? Ang katotohanan ay ang DMVPN sa bahaging ito ay bahagyang naiiba sa klasikal na pagruruta - ang pinakamainam na magagawa ay ang pag-configure ng mga mekanismo ng QoS na magbibigay-daan sa iyong unahin ang trapiko sa papalabas na direksyon, ngunit sa anumang paraan ay hindi kayang isaalang-alang ang estado ng ang buong landas sa isang pagkakataon o iba pa.

At ano ang gagawin kung ang channel ay bahagyang bumaba at hindi ganap - kung paano tuklasin at suriin ito? Hindi ito magagawa mismo ng DMVPN. Isinasaalang-alang na ang mga channel na nagkokonekta sa mga sangay ay maaaring dumaan sa ganap na magkakaibang mga operator ng telecom, gamit ang ganap na magkakaibang mga teknolohiya, ang gawaing ito ay nagiging lubhang hindi mahalaga. At dito sumagip ang teknolohiya ng Cisco Performance Routing, na noong panahong iyon ay dumaan na sa ilang yugto ng pag-unlad.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Ang gawain ng Cisco Performance Routing (simula dito ay PfR) ay bumaba sa pagsukat sa estado ng mga landas (tunnels) ng trapiko batay sa mga pangunahing sukatan na mahalaga para sa mga aplikasyon sa network - latency, latency variation (jitter) at packet loss (porsyento). Bukod pa rito, masusukat ang ginamit na bandwidth. Ang mga sukat na ito ay nangyayari nang mas malapit sa real time hangga't maaari at makatwiran, at ang resulta ng mga sukat na ito ay nagbibigay-daan sa router na gumagamit ng PfR na dynamic na gumawa ng mga desisyon tungkol sa pangangailangang baguhin ang pagruruta ng ito o ang ganoong uri ng trapiko.

Kaya, ang gawain ng kumbinasyon ng DMVPN/PfR ay maaaring madaling ilarawan bilang mga sumusunod:

  • Payagan ang customer na gumamit ng anumang mga channel ng komunikasyon sa WAN network
  • Tiyakin ang pinakamataas na posibleng kalidad ng mga kritikal na application sa mga channel na ito

Ano ang Cisco SD-WAN?

Ang Cisco SD-WAN ay isang teknolohiya na gumagamit ng SDN approach upang lumikha at magpatakbo ng WAN network ng isang organisasyon. Sa partikular, nangangahulugan ito ng paggamit ng mga tinatawag na controllers (mga elemento ng software), na nagbibigay ng sentralisadong orkestra at awtomatikong pagsasaayos ng lahat ng bahagi ng solusyon. Hindi tulad ng canonical SDN (Clean Slate style), ang Cisco SD-WAN ay gumagamit ng ilang uri ng controllers, na ang bawat isa ay gumaganap ng sarili nitong tungkulin - ito ay sinadya upang makapagbigay ng mas mahusay na scalability at geo-redundancy.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Sa kaso ng SD-WAN, ang gawain ng paggamit ng anumang uri ng mga channel at pagtiyak sa pagpapatakbo ng mga application ng negosyo ay nananatiling pareho, ngunit sa parehong oras, ang mga kinakailangan para sa automation, scalability, seguridad at flexibility ng naturang network ay lumalawak.

Pagtalakay sa mga pagkakaiba

Kung sisimulan na nating suriin ang mga pagkakaiba sa pagitan ng mga teknolohiyang ito, mahuhulog ang mga ito sa isa sa mga sumusunod na kategorya:

  • Mga pagkakaiba sa arkitektura - paano ipinamamahagi ang mga function sa iba't ibang bahagi ng solusyon, paano nakaayos ang pakikipag-ugnayan ng mga naturang bahagi, at paano ito nakakaapekto sa mga kakayahan at flexibility ng teknolohiya?
  • Pag-andar - ano ang magagawa ng isang teknolohiya na hindi magagawa ng iba? At ito ba ay talagang mahalaga?

Ano ang mga pagkakaiba sa arkitektura at mahalaga ba ang mga ito?

Ang bawat isa sa mga teknolohiyang ito ay may maraming "mga gumagalaw na bahagi" na naiiba hindi lamang sa kanilang mga tungkulin, kundi pati na rin sa kung paano sila nakikipag-ugnayan sa isa't isa. Kung gaano kahusay pinag-isipan ang mga prinsipyong ito at direktang tinutukoy ng pangkalahatang mekanika ng solusyon ang scalability nito, fault tolerance at pangkalahatang kahusayan.

Tingnan natin ang iba't ibang aspeto ng arkitektura nang mas detalyado:

Data-plane – bahagi ng solusyon na responsable para sa pagpapadala ng trapiko ng user sa pagitan ng pinagmulan at ng tatanggap. Ang DMVPN at SD-WAN ay karaniwang ipinapatupad sa mga router mismo batay sa Multipoint GRE tunnels. Ang pagkakaiba ay kung paano nabuo ang kinakailangang hanay ng mga parameter para sa mga tunnel na ito:

  • Π² DMVPN/PfR ay isang eksklusibong dalawang antas na hierarchy ng mga node na may Star o Hub-n-Spoke na topology. Kinakailangan ang static na configuration ng Hub at static na binding ng Spoke to the Hub, gayundin ang pakikipag-ugnayan sa pamamagitan ng NHRP protocol upang bumuo ng data-plane connectivity. Dahil dito, ang paggawa ng mga pagbabago sa Hub ay mas mahirapkaugnay, halimbawa, sa pagpapalit/pagkonekta ng mga bagong channel ng WAN o pagpapalit ng mga parameter ng mga umiiral na.
  • Π² SD WAN ay isang ganap na dynamic na modelo para sa pag-detect ng mga parameter ng mga naka-install na tunnel batay sa control-plane (OMP protocol) at orchestration-plane (interaksyon sa vBond controller para sa controller detection at NAT traversal tasks). Sa kasong ito, maaaring gamitin ang anumang mga superimposed na topologies, kabilang ang mga hierarchical. Sa loob ng itinatag na overlay tunnel topology, ang flexible configuration ng logical topology sa bawat indibidwal na VPN(VRF) ay posible.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Control-eroplano – mga function ng pagpapalitan, pagsala at pagbabago ng pagruruta at iba pang impormasyon sa pagitan ng mga bahagi ng solusyon.

  • Π² DMVPN/PfR – isinasagawa lamang sa pagitan ng Hub at Spoke na mga router. Ang direktang pagpapalitan ng impormasyon sa pagruruta sa pagitan ng Spokes ay hindi posible. Dahil dito, Kung walang gumaganang Hub, hindi gagana ang control-plane at data-plane, na nagpapataw ng mga karagdagang kinakailangan sa mataas na availability sa Hub na hindi palaging matutugunan.
  • Π² SD WAN – ang control-plane ay hindi kailanman direktang isinasagawa sa pagitan ng mga router – ang pakikipag-ugnayan ay nangyayari batay sa OMP protocol at kinakailangang isagawa sa pamamagitan ng isang hiwalay na dalubhasang uri ng vSmart controller, na nagbibigay ng posibilidad ng pagbabalanse, geo-reservation at sentralisadong kontrol ng pagkarga ng signal. Ang isa pang tampok ng OMP protocol ay ang makabuluhang pagtutol nito sa mga pagkalugi at kalayaan mula sa bilis ng channel ng komunikasyon sa mga controllers (sa loob ng makatwirang mga limitasyon, siyempre). Na parehong matagumpay na nagpapahintulot sa iyo na maglagay ng mga SD-WAN controllers sa pampubliko o pribadong ulap na may access sa pamamagitan ng Internet.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Plano ng patakaran – bahagi ng solusyon na responsable para sa pagtukoy, pamamahagi at paglalapat ng mga patakaran sa pamamahala ng trapiko sa isang distributed network.

  • DMVPN – ay epektibong nililimitahan ng mga patakaran sa kalidad ng serbisyo (QoS) na naka-configure nang paisa-isa sa bawat router sa pamamagitan ng mga template ng CLI o Prime Infrastructure.
  • DMVPN/PfR – Ang mga patakaran ng PfR ay nabuo sa sentralisadong Master Controller (MC) na router sa pamamagitan ng CLI at pagkatapos ay awtomatikong ipinamamahagi sa mga branch MC. Sa kasong ito, ang parehong mga path ng paglipat ng patakaran ay ginagamit tulad ng para sa data-plane. Walang posibilidad na paghiwalayin ang pagpapalitan ng mga patakaran, impormasyon sa pagruruta at data ng user. Ang pagpapalaganap ng patakaran ay nangangailangan ng pagkakaroon ng IP connectivity sa pagitan ng Hub at Spoke. Sa kasong ito, ang function ng MC ay maaaring, kung kinakailangan, isama sa isang DMVPN router. Posible (ngunit hindi kinakailangan) na gumamit ng mga template ng Prime Infrastructure para sa sentralisadong pagbuo ng patakaran. Ang isang mahalagang tampok ay ang patakaran ay nabuo sa buong mundo sa parehong paraan - Hindi sinusuportahan ang mga indibidwal na patakaran para sa mga indibidwal na segment.
  • SD WAN – Ang pamamahala ng trapiko at kalidad ng mga patakaran sa serbisyo ay tinutukoy nang sentral sa pamamagitan ng Cisco vManage graphical interface, na mapupuntahan din sa pamamagitan ng Internet (kung kinakailangan). Ang mga ito ay ipinamamahagi sa pamamagitan ng mga channel ng pagbibigay ng senyas nang direkta o hindi direkta sa pamamagitan ng vSmart controllers (depende sa uri ng patakaran). Hindi sila umaasa sa koneksyon ng data-plane sa pagitan ng mga router, dahil gamitin ang lahat ng magagamit na mga landas ng trapiko sa pagitan ng controller at ng router.

    Para sa iba't ibang mga segment ng network, posibleng flexible na bumuo ng iba't ibang mga patakaran - ang saklaw ng patakaran ay tinutukoy ng maraming natatanging identifier na ibinigay sa solusyon - numero ng sangay, uri ng aplikasyon, direksyon ng trapiko, atbp.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Orkestra-eroplano – mga mekanismo na nagpapahintulot sa mga bahagi na dynamic na makita ang isa't isa, i-configure at i-coordinate ang mga kasunod na pakikipag-ugnayan.

  • Π² DMVPN/PfR Ang pagtuklas ng mutual sa pagitan ng mga router ay batay sa static na configuration ng mga Hub device at sa kaukulang configuration ng Spoke device. Ang dynamic na pagtuklas ay nangyayari lamang para sa Spoke, na nag-uulat ng mga parameter ng koneksyon sa Hub nito sa device, na kung saan ay paunang na-configure sa Spoke. Kung walang koneksyon sa IP sa pagitan ng Spoke at hindi bababa sa isang Hub, imposibleng bumuo ng alinman sa isang data-plane o isang control-plane.
  • Π² SD WAN Ang pagsasaayos ng mga bahagi ng solusyon ay nangyayari gamit ang vBond controller, kung saan ang bawat bahagi (router at vManage/vSmart controllers) ay dapat munang magtatag ng IP connectivity.

    Sa una, hindi alam ng mga bahagi ang tungkol sa mga parameter ng koneksyon ng bawat isa - para dito kailangan nila ang vBond intermediary orchestrator. Ang pangkalahatang prinsipyo ay ang mga sumusunod - ang bawat bahagi sa paunang yugto ay natututo (awtomatiko o static) lamang tungkol sa mga parameter ng koneksyon sa vBond, pagkatapos ay ipinapaalam ng vBond sa router ang tungkol sa vManage at vSmart controllers (natuklasan nang mas maaga), na ginagawang posible na awtomatikong magtatag lahat ng kinakailangang koneksyon sa pagbibigay ng senyas.

    Ang susunod na hakbang ay para sa bagong router na malaman ang tungkol sa iba pang mga router sa network sa pamamagitan ng OMP na komunikasyon sa vSmart controller. Kaya, ang router, nang walang alam sa simula ng anumang bagay tungkol sa mga parameter ng network, ay ganap na awtomatikong makita at kumonekta sa mga controllers at pagkatapos ay awtomatikong makita at bumuo ng pagkakakonekta sa iba pang mga router. Sa kasong ito, ang mga parameter ng koneksyon ng lahat ng mga bahagi ay hindi alam sa simula at maaaring magbago sa panahon ng operasyon.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Pamamahala-eroplano – bahagi ng solusyon na nagbibigay ng sentralisadong pamamahala at pagsubaybay.

  • DMVPN/PfR – walang ibinigay na espesyal na solusyon sa pamamahala-eroplano. Para sa pangunahing automation at pagsubaybay, maaaring gamitin ang mga produkto tulad ng Cisco Prime Infrastructure. Ang bawat router ay may kakayahang kontrolin sa pamamagitan ng CLI command line. Ang pagsasama sa mga panlabas na system sa pamamagitan ng API ay hindi ibinigay.
  • SD WAN – lahat ng regular na pakikipag-ugnayan at pagsubaybay ay isinasagawa sa gitna sa pamamagitan ng graphical na interface ng vManage controller. Ang lahat ng mga tampok ng solusyon, nang walang pagbubukod, ay magagamit para sa pagsasaayos sa pamamagitan ng vManage, pati na rin sa pamamagitan ng isang ganap na dokumentado na REST API library.

    Ang lahat ng mga setting ng network ng SD-WAN sa vManage ay bumaba sa dalawang pangunahing konstruksyon - ang pagbuo ng mga template ng device (Device Template) at ang pagbuo ng isang patakaran na tumutukoy sa lohika ng pagpapatakbo ng network at pagproseso ng trapiko. Kasabay nito, ang vManage, na nagbo-broadcast ng patakarang nabuo ng administrator, ay awtomatikong pinipili kung aling mga pagbabago at kung aling mga indibidwal na device/controller ang kailangang gawin, na makabuluhang nagpapataas ng kahusayan at scalability ng solusyon.

    Sa pamamagitan ng interface ng vManage, hindi lamang magagamit ang configuration ng Cisco SD-WAN solution, kundi pati na rin ang buong pagsubaybay sa katayuan ng lahat ng bahagi ng solusyon, hanggang sa kasalukuyang estado ng mga sukatan para sa mga indibidwal na tunnel at istatistika sa paggamit ng iba't ibang mga application. batay sa pagsusuri ng DPI.

    Sa kabila ng sentralisasyon ng pakikipag-ugnayan, ang lahat ng mga bahagi (mga controller at router) ay mayroon ding fully functional na CLI command line, na kinakailangan sa yugto ng pagpapatupad o sa kaso ng isang emergency para sa mga lokal na diagnostic. Sa normal na mode (kung mayroong signaling channel sa pagitan ng mga bahagi) sa mga router, ang command line ay magagamit lamang para sa mga diagnostic at hindi magagamit para sa paggawa ng mga lokal na pagbabago, na ginagarantiyahan ang lokal na seguridad at ang tanging pinagmumulan ng mga pagbabago sa naturang network ay vManage.

Pinagsamang Seguridad – dito pinag-uusapan natin hindi lamang ang tungkol sa proteksyon ng data ng user kapag ipinadala sa mga bukas na channel, kundi pati na rin ang tungkol sa pangkalahatang seguridad ng WAN network batay sa napiling teknolohiya.

  • Π² DMVPN/PfR Posibleng i-encrypt ang data ng user at signaling protocol. Kapag gumagamit ng ilang partikular na modelo ng router, mga function ng firewall na may inspeksyon sa trapiko, IPS/ID ay karagdagang magagamit. Posibleng i-segment ang mga branch network gamit ang VRF. Posibleng patunayan ang (one-factor) na mga control protocol.

    Sa kasong ito, ang remote na router ay itinuturing na isang pinagkakatiwalaang elemento ng network bilang default - i.e. Ang mga kaso ng pisikal na kompromiso ng mga indibidwal na aparato at ang posibilidad ng hindi awtorisadong pag-access sa mga ito ay hindi ipinapalagay o isinasaalang-alang; walang dalawang-factor na pagpapatunay ng mga bahagi ng solusyon, na sa kaso ng isang network na ipinamamahagi sa heograpiya maaaring magdala ng makabuluhang karagdagang mga panganib.

  • Π² SD WAN sa pamamagitan ng pagkakatulad sa DMVPN, ibinibigay ang kakayahang mag-encrypt ng data ng user, ngunit may makabuluhang pinalawak na seguridad ng network at mga function ng segmentasyon ng L3/VRF (firewall, IPS/ID, URL filtering, DNS filtering, AMP/TG, SASE, TLS/SSL proxy, atbp.) d.). Kasabay nito, ang pagpapalitan ng mga susi sa pag-encrypt ay isinasagawa nang mas mahusay sa pamamagitan ng mga vSmart controllers (sa halip na direkta), sa pamamagitan ng paunang itinatag na mga channel ng senyas na protektado ng DTLS/TLS encryption batay sa mga sertipiko ng seguridad. Na kung saan ay ginagarantiyahan ang seguridad ng naturang mga palitan at tinitiyak ang mas mahusay na scalability ng solusyon hanggang sa sampu-sampung libong mga device sa parehong network.

    Ang lahat ng koneksyon sa pagbibigay ng senyas (controller-to-controller, controller-router) ay protektado din batay sa DTLS/TLS. Ang mga router ay nilagyan ng mga sertipiko ng kaligtasan sa panahon ng produksyon na may posibilidad na palitan/extension. Ang two-factor authentication ay nakakamit sa pamamagitan ng mandatory at sabay-sabay na pagtupad sa dalawang kundisyon para gumana ang router/controller sa isang SD-WAN network:

    • Wastong sertipiko ng seguridad
    • Ang tahasan at sinasadyang pagsasama ng administrator ng bawat bahagi sa "puting" listahan ng mga pinapayagang device.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Mga pagkakaiba sa pagganap sa pagitan ng SD-WAN at DMVPN/PfR

Ang paglipat sa pagtalakay sa mga pagkakaiba sa pagganap, dapat tandaan na marami sa kanila ay isang pagpapatuloy ng mga arkitektura - hindi lihim na kapag bumubuo ng arkitektura ng isang solusyon, ang mga developer ay nagsisimula mula sa mga kakayahan na nais nilang makuha sa dulo. Tingnan natin ang pinaka makabuluhang pagkakaiba sa pagitan ng dalawang teknolohiya.

AppQ (Application Quality) – gumagana upang matiyak ang kalidad ng paghahatid ng trapiko ng application ng negosyo

Ang mga pangunahing pag-andar ng mga teknolohiyang isinasaalang-alang ay naglalayong pahusayin ang karanasan ng user hangga't maaari kapag gumagamit ng mga application na kritikal sa negosyo sa isang distributed network. Ito ay lalong mahalaga sa mga kondisyon kung saan ang bahagi ng imprastraktura ay hindi kontrolado ng IT o hindi man lang ginagarantiyahan ang matagumpay na paglilipat ng data.

Ang DMVPN mismo ay hindi nagbibigay ng gayong mga mekanismo. Ang pinakamahusay na magagawa sa isang klasikong DMVPN network ay ang pag-uri-uriin ang papalabas na trapiko sa pamamagitan ng aplikasyon at unahin ito kapag ipinadala patungo sa WAN channel. Ang pagpili ng isang DMVPN tunnel ay tinutukoy sa kasong ito sa pamamagitan lamang ng pagkakaroon nito at ang resulta ng pagpapatakbo ng mga routing protocol. Kasabay nito, ang end-to-end na estado ng path/tunnel at ang posibleng bahagyang pagkasira nito ay hindi isinasaalang-alang sa mga tuntunin ng mga pangunahing sukatan na makabuluhan para sa mga aplikasyon sa network - pagkaantala, pagkakaiba-iba ng pagkaantala (jitter) at pagkalugi (% ). Kaugnay nito, ang direktang paghahambing ng klasikong DMVPN sa SD-WAN sa mga tuntunin ng paglutas ng mga problema sa AppQ ay nawawalan ng lahat ng kahulugan - hindi malulutas ng DMVPN ang problemang ito. Kapag nagdagdag ka ng teknolohiyang Cisco Performance Routing (PfR) sa kontekstong ito, nagbabago ang sitwasyon at nagiging mas makabuluhan ang paghahambing sa Cisco SD-WAN.

Bago natin talakayin ang mga pagkakaiba, narito ang isang mabilis na pagtingin sa kung paano magkatulad ang mga teknolohiya. Kaya, ang parehong mga teknolohiya:

  • may mekanismo na nagbibigay-daan sa iyong dynamic na masuri ang estado ng bawat naitatag na tunnel sa mga tuntunin ng ilang partikular na sukatan - sa pinakamababa, pagkaantala, pagkakaiba-iba ng pagkaantala at pagkawala ng packet (%)
  • gumamit ng isang partikular na hanay ng mga tool upang bumuo, ipamahagi at ilapat ang mga panuntunan sa pamamahala ng trapiko (mga patakaran), na isinasaalang-alang ang mga resulta ng pagsukat sa estado ng mga pangunahing sukatan ng tunnel.
  • uriin ang trapiko ng application sa mga antas ng L3-L4 (DSCP) ng modelo ng OSI o ayon sa mga lagda ng L7 application batay sa mga mekanismo ng DPI na binuo sa router
  • Para sa mga makabuluhang aplikasyon, pinapayagan ka nitong matukoy ang mga katanggap-tanggap na halaga ng threshold ng mga sukatan, mga panuntunan para sa pagpapadala ng trapiko bilang default, at mga panuntunan para sa pag-rerouting ng trapiko kapag nalampasan ang mga halaga ng threshold.
  • Kapag nag-encapsulate ng trapiko sa GRE/IPSec, ginagamit nila ang naitatag nang mekanismo ng industriya para sa paglilipat ng mga panloob na marka ng DSCP sa panlabas na header ng packet ng GRE/IPSEC, na nagpapahintulot sa pag-synchronize ng mga patakaran ng QoS ng organisasyon at ng operator ng telecom (kung mayroong naaangkop na SLA) .

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Paano naiiba ang SD-WAN at DMVPN/PfR end-to-end na sukatan?

DMVPN/PfR

  • Parehong aktibo at passive software sensors (Probes) ay ginagamit upang suriin ang mga karaniwang sukatan ng kalusugan ng tunnel. Ang mga aktibo ay nakabatay sa trapiko ng gumagamit, ang mga pasibo ay tumulad sa gayong trapiko (sa kawalan nito).
  • Walang fine-tuning ng mga timer at mga kundisyon ng pag-detect ng degradasyon - naayos ang algorithm.
  • Bukod pa rito, available ang pagsukat ng ginamit na bandwidth sa papalabas na direksyon. Na nagdaragdag ng karagdagang kakayahang umangkop sa pamamahala ng trapiko sa DMVPN/PfR.
  • Kasabay nito, ang ilang mekanismo ng PfR, kapag nalampasan ang mga sukatan, ay umaasa sa pagbibigay ng senyas ng feedback sa anyo ng mga espesyal na mensahe ng TCA (Threshold Crossing Alert) na dapat magmula sa tatanggap ng trapiko patungo sa pinagmulan, na ipinapalagay naman na ang estado ng ang mga sinusukat na channel ay dapat na hindi bababa sa sapat para sa paghahatid ng mga naturang mensahe ng TCA. Na sa karamihan ng mga kaso ay hindi isang problema, ngunit malinaw na hindi magagarantiyahan.

SD WAN

  • Para sa end-to-end na pagsusuri ng mga karaniwang sukatan ng estado ng tunnel, ginagamit ang BFD protocol sa echo mode. Sa kasong ito, hindi kinakailangan ang espesyal na feedback sa anyo ng TCA o mga katulad na mensahe - pinananatili ang paghihiwalay ng mga domain ng pagkabigo. Hindi rin nito kailangan ang pagkakaroon ng trapiko ng gumagamit upang suriin ang katayuan ng tunnel.
  • Posibleng i-fine-tune ang mga timer ng BFD para i-regulate ang bilis ng pagtugon at pagiging sensitibo ng algorithm sa pagkasira ng channel ng komunikasyon mula sa ilang segundo hanggang minuto.

    Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

  • Sa oras ng pagsulat, mayroon lamang isang sesyon ng BFD sa bawat tunnel. Ito ay potensyal na lumikha ng mas kaunting granularity sa pagsusuri ng estado ng tunnel. Sa totoo lang, maaari lang itong maging limitasyon kung gagamit ka ng koneksyon sa WAN batay sa MPLS L2/L3 VPN na may napagkasunduang QoS SLA - kung ang DSCP marking ng BFD traffic (pagkatapos ng encapsulation sa IPSec/GRE) ay tumutugma sa high-priority queue sa network ng telecom operator, kung gayon ito ay maaaring makaapekto sa katumpakan at bilis ng degradation detection para sa mababang priyoridad na trapiko. Kasabay nito, posibleng baguhin ang default na BFD labeling upang mabawasan ang panganib ng mga ganitong sitwasyon. Sa mga hinaharap na bersyon ng Cisco SD-WAN software, inaasahan ang mas pinong mga setting ng BFD, gayundin ang kakayahang maglunsad ng maraming sesyon ng BFD sa loob ng parehong tunnel na may mga indibidwal na halaga ng DSCP (para sa iba't ibang mga application).
  • Binibigyang-daan ka rin ng BFD na tantyahin ang maximum na laki ng packet na maaaring maipadala sa isang partikular na tunnel nang walang fragmentation. Nagbibigay-daan ito sa SD-WAN na dynamic na ayusin ang mga parameter gaya ng MTU at TCP MSS Adjust upang masulit ang magagamit na bandwidth sa bawat link.
  • Sa SD-WAN, magagamit din ang opsyon ng pag-synchronize ng QoS mula sa mga operator ng telecom, hindi lamang batay sa mga patlang ng L3 DSCP, ngunit batay din sa mga halaga ng L2 CoS, na maaaring awtomatikong mabuo sa network ng sangay ng mga dalubhasang device - halimbawa, IP mga telepono

Paano naiiba ang mga kakayahan, paraan ng pagtukoy at paglalapat ng mga patakaran ng AppQ?

Mga Patakaran ng DMVPN/PfR:

  • Tinukoy sa (mga) router ng central branch sa pamamagitan ng command line ng CLI o mga template ng configuration ng CLI. Ang pagbuo ng mga template ng CLI ay nangangailangan ng paghahanda at kaalaman sa syntax ng patakaran.

    Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

  • Tinukoy sa buong mundo nang walang posibilidad ng indibidwal na pagsasaayos/pagbabago sa mga kinakailangan ng indibidwal na mga segment ng network.
  • Ang interactive na pagbuo ng patakaran ay hindi ibinigay sa graphical na interface.
  • Ang pagsubaybay sa mga pagbabago, mana, at paggawa ng maraming bersyon ng mga patakaran para sa mabilisang paglipat ay hindi ibinigay.
  • Awtomatikong ipinamahagi sa mga router ng malalayong sangay. Sa kasong ito, ang parehong mga channel ng komunikasyon ay ginagamit bilang para sa pagpapadala ng data ng user. Kung walang channel ng komunikasyon sa pagitan ng sentral at malayong sangay, imposible ang pamamahagi/pagbabago ng mga patakaran.
  • Ginagamit ang mga ito sa bawat router at, kung kinakailangan, baguhin ang resulta ng mga karaniwang routing protocol, na may mas mataas na priyoridad.
  • Para sa mga kaso kung saan ang lahat ng branch WAN link ay nakakaranas ng malaking pagkawala ng trapiko, walang ibinigay na mekanismo ng kompensasyon.

Mga Patakaran sa SD-WAN:

  • Tinukoy sa vManage GUI sa pamamagitan ng interactive na template wizard.
  • Sinusuportahan ang paglikha ng maramihang mga patakaran, pagkopya, pagmamana, paglipat sa pagitan ng mga patakaran sa real time.
  • Sinusuportahan ang mga indibidwal na setting ng patakaran para sa iba't ibang mga segment ng network (mga sangay)
  • Ang mga ito ay ipinamamahagi gamit ang anumang magagamit na channel ng signal sa pagitan ng controller at ng router at/o vSmart - hindi direktang umaasa sa koneksyon ng data-plane sa pagitan ng mga router. Ito, siyempre, ay nangangailangan ng koneksyon sa IP sa pagitan ng router mismo at ng mga controllers.

    Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

  • Para sa mga kaso kapag ang lahat ng available na sangay ng isang sangay ay nakakaranas ng makabuluhang pagkalugi ng data na lumalampas sa mga katanggap-tanggap na threshold para sa mga kritikal na aplikasyon, posibleng gumamit ng mga karagdagang mekanismo na nagpapataas ng pagiging maaasahan ng paghahatid:
    • FEC (Forward Error Correction) – Gumagamit ng espesyal na redundant coding algorithm. Kapag nagpapadala ng kritikal na trapiko sa mga channel na may malaking porsyento ng mga pagkalugi, maaaring awtomatikong i-activate ang FEC at pinapayagan, kung kinakailangan, na ibalik ang nawalang bahagi ng data. Ito ay bahagyang pinapataas ang ginamit na bandwidth ng paghahatid, ngunit makabuluhang nagpapabuti sa pagiging maaasahan.

      Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

    • Pagdoble ng mga stream ng data – Bilang karagdagan sa FEC, ang patakaran ay maaaring magbigay ng awtomatikong pagdoble ng trapiko ng mga napiling aplikasyon kung sakaling magkaroon ng mas malubhang antas ng pagkalugi na hindi mabayaran ng FEC. Sa kasong ito, ang napiling data ay ipapadala sa lahat ng mga tunnel patungo sa tumatanggap na sangay na may kasunod na de-duplikasyon (pagbaba ng mga karagdagang kopya ng mga packet). Ang mekanismo ay makabuluhang pinapataas ang paggamit ng channel, ngunit makabuluhang pinapataas din ang pagiging maaasahan ng transmission.

Mga kakayahan ng Cisco SD-WAN, nang walang direktang mga analogue sa DMVPN/PfR

Ang arkitektura ng Cisco SD-WAN na solusyon sa ilang mga kaso ay nagbibigay-daan sa iyo na makakuha ng mga kakayahan na alinman ay lubhang mahirap ipatupad sa loob ng DMVPN/PfR, o hindi praktikal dahil sa mga kinakailangang gastos sa paggawa, o ganap na imposible. Tingnan natin ang pinaka-kawili-wili sa kanila:

Traffic-Engineering (TE)

Kasama sa TE ang mga mekanismo na nagpapahintulot sa trapiko na sumanga sa karaniwang landas na nabuo sa pamamagitan ng mga routing protocol. Ang TE ay kadalasang ginagamit upang matiyak ang mataas na kakayahang magamit ng mga serbisyo sa network, sa pamamagitan ng kakayahang mabilis at/o aktibong ilipat ang kritikal na trapiko sa isang alternatibong (magkahiwalay) na daanan ng paghahatid, upang matiyak ang mas mahusay na kalidad ng serbisyo o bilis ng pagbawi kung sakaling mabigo sa pangunahing landas.

Ang kahirapan sa pagpapatupad ng TE ay nakasalalay sa pangangailangang kalkulahin at ireserba (suriin) ang isang alternatibong landas nang maaga. Sa mga network ng MPLS ng mga telecom operator, ang problemang ito ay nalutas gamit ang mga teknolohiya tulad ng MPLS Traffic-Engineering na may mga extension ng IGP protocol at RSVP protocol. Kamakailan din, ang teknolohiya ng Segment Routing, na mas na-optimize para sa sentralisadong configuration at orkestrasyon, ay lalong naging popular. Sa mga klasikong WAN network, ang mga teknolohiyang ito ay kadalasang hindi kinakatawan o binabawasan sa paggamit ng mga mekanismo ng hop-by-hop tulad ng Policy-Based Routing (PBR), na may kakayahang magsanga ng trapiko, ngunit ipatupad ito sa bawat router nang hiwalay - nang hindi kumukuha isaalang-alang ang pangkalahatang estado ng network o resulta ng PBR sa mga nauna o kasunod na hakbang. Ang resulta ng paggamit ng mga pagpipiliang ito ng TE ay nakakadismaya - Ang MPLS TE, dahil sa pagiging kumplikado ng pagsasaayos at pagpapatakbo, ay ginagamit, bilang panuntunan, sa pinaka-kritikal na bahagi lamang ng network (core), at ang PBR ay ginagamit sa mga indibidwal na router nang walang ang kakayahang lumikha ng pinag-isang patakaran ng PBR para sa buong network. Malinaw, nalalapat din ito sa mga network na nakabatay sa DMVPN.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Ang SD-WAN sa bagay na ito ay nag-aalok ng isang mas eleganteng solusyon na hindi lamang madaling i-configure, ngunit mas mahusay din ang mga kaliskis. Ito ay resulta ng control-plane at policy-plane architecture na ginamit. Ang pagpapatupad ng policy-plane sa SD-WAN ay nagbibigay-daan sa iyong sentral na tukuyin ang patakaran sa TE - anong trapiko ang interesado? para sa aling mga VPN? Sa aling mga node/tunnel ang kailangan o, sa kabaligtaran, ipinagbabawal na bumuo ng alternatibong ruta? Sa turn, ang sentralisasyon ng control-plane management batay sa vSmart controllers ay nagbibigay-daan sa iyo na baguhin ang mga resulta ng pagruruta nang hindi gumagamit ng mga setting ng mga indibidwal na device - ang mga router ay nakikita na lamang ang resulta ng logic na nabuo sa vManage interface at inilipat para magamit sa vSmart.

Service-chaining

Ang pagbuo ng mga chain ng serbisyo ay isang mas matrabahong gawain sa klasikal na pagruruta kaysa sa inilarawan nang mekanismo ng Traffic-Engineering. Sa katunayan, sa kasong ito, ito ay kinakailangan hindi lamang upang lumikha ng isang espesyal na ruta para sa isang tiyak na aplikasyon ng network, ngunit din upang matiyak ang kakayahang alisin ang trapiko mula sa network sa ilang (o lahat) node ng SD-WAN network para sa pagproseso ng isang espesyal na application o serbisyo (Firewall, Balancing, Caching, Inspeksyon trapiko, atbp.). Kasabay nito, kinakailangan na makontrol ang estado ng mga panlabas na serbisyong ito upang maiwasan ang mga black-holing na sitwasyon, at kailangan din ng mga mekanismo na nagpapahintulot sa mga panlabas na serbisyo ng parehong uri na mailagay sa iba't ibang geo-location. na may kakayahan ng network na awtomatikong piliin ang pinakamainam na node ng serbisyo para sa pagproseso ng trapiko ng isang partikular na sangay. Sa kaso ng Cisco SD-WAN, ito ay medyo madaling makamit sa pamamagitan ng paglikha ng isang naaangkop na sentralisadong patakaran na "nagpapadikit" sa lahat ng aspeto ng target na chain ng serbisyo sa isang solong kabuuan at awtomatikong binabago ang data-plane at control-plane logic lamang kung saan at kung kinakailangan.

Puputulin ba ng Cisco SD-WAN ang sangay kung saan nakaupo ang DMVPN?

Ang kakayahang lumikha ng geo-distributed na pagpoproseso ng trapiko ng mga piling uri ng mga application sa isang tiyak na pagkakasunud-sunod sa mga dalubhasang (ngunit hindi nauugnay sa SD-WAN network mismo) na kagamitan ay marahil ang pinaka-malinaw na pagpapakita ng mga pakinabang ng Cisco SD-WAN sa klasikong teknolohiya at kahit ilang alternatibong solusyon sa SD -WAN mula sa iba pang mga tagagawa.

Ang resulta?

Malinaw, parehong DMVPN (mayroon o walang Performance Routing) at Cisco SD-WAN natatapos sa paglutas ng mga katulad na problema kaugnay ng ipinamamahaging WAN network ng organisasyon. Kasabay nito, ang mga makabuluhang pagkakaiba sa arkitektura at functional sa teknolohiya ng Cisco SD-WAN ay humahantong sa proseso ng paglutas ng mga problemang ito. sa ibang antas ng kalidad. Upang buod, maaari naming tandaan ang mga sumusunod na makabuluhang pagkakaiba sa pagitan ng SD-WAN at DMVPN/PfR na mga teknolohiya:

  • Ang DMVPN/PfR sa pangkalahatan ay gumagamit ng mga teknolohiyang nasubok sa oras para sa pagbuo ng mga overlay na VPN network at, sa mga tuntunin ng data-plane, ay katulad ng mas modernong teknolohiya ng SD-WAN, gayunpaman, mayroong ilang mga limitasyon sa anyo ng isang ipinag-uutos na static na pagsasaayos. ng mga router at ang pagpili ng mga topologies ay limitado sa Hub-n-Spoke. Sa kabilang banda, may ilang functionality ang DMVPN/PfR na hindi pa available sa loob ng SD-WAN (pinag-uusapan natin ang tungkol sa per-application BFD).
  • Sa loob ng control-plane, ang mga teknolohiya sa panimula ay naiiba. Isinasaalang-alang ang sentralisadong pagpoproseso ng mga protocol ng pagbibigay ng senyas, pinapayagan ng SD-WAN, sa partikular, na makabuluhang paliitin ang mga domain ng pagkabigo at "i-decouple" ang proseso ng pagpapadala ng trapiko ng gumagamit mula sa pakikipag-ugnayan sa pagbibigay ng senyas - hindi nakakaapekto ang pansamantalang kawalan ng mga controller sa kakayahang magpadala ng trapiko ng gumagamit . Kasabay nito, ang pansamantalang kawalan ng kakayahang magamit ng anumang sangay (kabilang ang gitnang isa) ay hindi sa anumang paraan makakaapekto sa kakayahan ng ibang mga sangay na makipag-ugnayan sa isa't isa at mga controller.
  • Ang arkitektura para sa pagbuo at aplikasyon ng mga patakaran sa pamamahala ng trapiko sa kaso ng SD-WAN ay mas mataas din kaysa sa DMVPN/PfR - mas mahusay na ipinatupad ang geo-reservation, walang koneksyon sa Hub, mas maraming pagkakataon para sa fine -tuning na mga patakaran, ang listahan ng mga ipinatupad na mga sitwasyon sa pamamahala ng trapiko ay mas malaki din.
  • Ang proseso ng orkestrasyon ng solusyon ay malaki rin ang pagkakaiba. Ipinapalagay ng DMVPN ang pagkakaroon ng dati nang kilalang mga parameter na dapat kahit papaano ay maipakita sa pagsasaayos, na medyo nililimitahan ang flexibility ng solusyon at ang posibilidad ng mga dynamic na pagbabago. Sa turn, ang SD-WAN ay batay sa paradigm na sa unang sandali ng koneksyon, ang router ay "walang alam" tungkol sa mga controllers nito, ngunit alam "kung sino ang maaari mong tanungin" - ito ay sapat na hindi lamang upang awtomatikong magtatag ng komunikasyon sa ang mga controllers, ngunit pati na rin sa awtomatikong pagbuo ng isang ganap na konektadong data-plane topology, na maaaring madaling i-configure/palitan gamit ang mga patakaran.
  • Sa mga tuntunin ng sentralisadong pamamahala, automation at pagsubaybay, inaasahang malalampasan ng SD-WAN ang mga kakayahan ng DMVPN/PfR, na umunlad mula sa mga klasikal na teknolohiya at higit na umaasa sa CLI command line at sa paggamit ng mga template-based na NMS system.
  • Sa SD-WAN, kumpara sa DMVPN, ang mga kinakailangan sa seguridad ay umabot sa ibang antas ng husay. Ang mga pangunahing prinsipyo ay zero trust, scalability at two-factor authentication.

Ang mga simpleng konklusyon na ito ay maaaring magbigay ng maling impresyon na ang paglikha ng isang network batay sa DMVPN/PfR ay nawala ang lahat ng kaugnayan ngayon. Ito ay siyempre hindi ganap na totoo. Halimbawa, sa mga kaso kung saan ang network ay gumagamit ng maraming hindi napapanahong kagamitan at walang paraan upang palitan ito, ang DMVPN ay maaaring magpapahintulot sa iyo na pagsamahin ang "luma" at "bago" na mga aparato sa isang solong geo-distributed na network na may maraming mga pakinabang na inilarawan sa itaas.

Sa kabilang banda, dapat tandaan na ang lahat ng kasalukuyang Cisco corporate router batay sa IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) ngayon ay sumusuporta sa anumang operating mode - parehong klasikong pagruruta at DMVPN at SD-WAN - ang pagpili ay tinutukoy ng kasalukuyang mga pangangailangan at ang pag-unawa na sa anumang sandali, gamit ang parehong kagamitan, maaari kang magsimulang lumipat patungo sa mas advanced na teknolohiya.

Pinagmulan: www.habr.com

Magdagdag ng komento