ProHoster > Blog > yönetim > Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Cisco'nun Viptela'yı satın aldığı Ağustos 2017'den bu yana, dağıtılmış kurumsal ağları organize etmek için sunulan ana teknoloji, Cisco SD-WAN. Son 3 yılda SD-WAN teknolojisi hem niteliksel hem de niceliksel olarak birçok değişiklik geçirdi. Böylece işlevsellik önemli ölçüde genişledi ve serinin klasik yönlendiricilerinde destek ortaya çıktı Cisco ISR 1000, ISR 4000, ASR 1000 ve Sanal CSR 1000v. Aynı zamanda birçok Cisco müşterisi ve iş ortağı şunu merak etmeye devam ediyor: Cisco SD-WAN ile halihazırda bilinen teknolojilere dayanan yaklaşımlar arasındaki farklar nelerdir? Cisco DMVPN и Cisco Performans Yönlendirme ve bu farklılıklar ne kadar önemli?

Burada, Cisco portföyünde SD-WAN'ın ortaya çıkmasından önce, DMVPN'in PfR ile birlikte mimaride önemli bir parça oluşturduğuna hemen bir rezervasyon yapmalıyız. Cisco IWAN (Akıllı WAN)Bu da tam teşekküllü SD-WAN teknolojisinin öncüsü oldu. Hem çözülen görevlerin hem de bunları çözme yöntemlerinin genel benzerliğine rağmen, IWAN hiçbir zaman SD-WAN için gerekli olan otomasyon, esneklik ve ölçeklenebilirlik düzeyini alamadı ve zamanla IWAN'ın gelişimi önemli ölçüde azaldı. Aynı zamanda IWAN'ı oluşturan teknolojiler de kaybolmadı ve birçok müşteri, modern ekipmanlar da dahil olmak üzere bunları başarıyla kullanmaya devam ediyor. Sonuç olarak ilginç bir durum ortaya çıktı - aynı Cisco ekipmanı, müşterilerin gereksinimlerine ve beklentilerine göre en uygun WAN teknolojisini (klasik, DMVPN+PfR veya SD-WAN) seçmenize olanak tanıyor.

Makale, Cisco SD-WAN ve DMVPN teknolojilerinin (Performans Yönlendirmeli veya Yönlendirmesiz) tüm özelliklerini ayrıntılı olarak analiz etmeyi amaçlamıyor - bunun için çok sayıda mevcut belge ve malzeme var. Asıl görev, bu teknolojiler arasındaki temel farklılıkları değerlendirmeye çalışmaktır. Ancak bu farklılıkları tartışmaya geçmeden önce teknolojilerin kendisini kısaca hatırlayalım.

Cisco DMVPN nedir ve neden gereklidir?

Cisco DMVPN, İnternet de dahil olmak üzere (= iletişim kanalının şifrelenmesiyle) isteğe bağlı iletişim kanalları kullanıldığında, uzak bir şube ağının bir işletmenin merkez ofisinin ağına dinamik (= ölçeklenebilir) bağlanması sorununu çözer. Teknik olarak bu, "Yıldız" tipinde (Hub-n-Spoke) mantıksal bir topolojiye sahip noktadan çok noktaya modda L3 VPN sınıfının sanallaştırılmış bir yer paylaşımlı ağının oluşturulmasıyla gerçekleştirilir. Bunu başarmak için DMVPN aşağıdaki teknolojilerin bir kombinasyonunu kullanır:

  • IP yönlendirme
  • Çok noktalı GRE tünelleri (mGRE)
  • Sonraki Hop Çözünürlük Protokolü (NHRP)
  • IPSec Kripto profilleri

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

MPLS VPN kanallarını kullanan klasik yönlendirmeyle karşılaştırıldığında Cisco DMVPN'in temel avantajları nelerdir?

  • Şubeler arası bir ağ oluşturmak için herhangi bir iletişim kanalını kullanmak mümkündür - şubeler arasında IP bağlantısı sağlayabilecek her şey uygundur, trafik şifrelenecek (gerektiğinde) ve dengelenecektir (mümkünse)
  • Dallar arasında tamamen bağlantılı bir topoloji otomatik olarak oluşturulur. Aynı zamanda merkez ve uzak şubeler arasında statik tüneller, uzak şubeler arasında ise isteğe bağlı olarak dinamik tüneller (trafik varsa) bulunmaktadır.
  • Merkezi ve uzak şubenin yönlendiricileri, arayüzlerin IP adreslerine kadar aynı konfigürasyona sahiptir. mGRE'yi kullandığınızda onlarca, yüzlerce ve hatta binlerce tüneli ayrı ayrı yapılandırmanıza gerek kalmaz. Sonuç olarak, doğru tasarımla iyi ölçeklenebilirlik.

Cisco Performans Yönlendirme nedir ve neden gereklidir?

DMVPN'i şubeler arası bir ağda kullanırken, son derece önemli bir soru çözülmeden kalır - kuruluşumuz için kritik olan trafik gereksinimlerine uygunluk açısından DMVPN tünellerinin her birinin durumunun dinamik olarak nasıl değerlendirileceği ve yine böyle bir değerlendirmeye dayanarak dinamik olarak nasıl yapılacağı Yön değiştirme kararı mı? Gerçek şu ki, DMVPN'in bu kısımda klasik yönlendirmeden çok az farkı vardır - yapılabilecek en iyi şey, giden yöndeki trafiğe öncelik vermenize izin verecek, ancak hiçbir şekilde trafiğin durumunu hesaba katamayacak QoS mekanizmalarını yapılandırmaktır. tüm yol bir anda veya başka bir zamanda.

Kanal tamamen değil de kısmen bozulursa ne yapılmalı - bu nasıl tespit edilip değerlendirilecek? DMVPN'in kendisi bunu yapamaz. Şubeleri birbirine bağlayan kanalların tamamen farklı telekom operatörlerinden, tamamen farklı teknolojiler kullanarak geçebildiği göz önüne alındığında, bu görev son derece önemsiz hale geliyor. İşte bu noktada, o zamana kadar zaten çeşitli geliştirme aşamalarından geçmiş olan Cisco Performans Yönlendirme teknolojisi kurtarmaya geliyor.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Cisco Performans Yönlendirmenin (bundan sonra PfR olarak anılacaktır) görevi, ağ uygulamaları için önemli olan temel ölçümlere dayalı olarak trafik yollarının (tünellerinin) durumunu ölçmekten ibarettir - gecikme, gecikme değişimi (titreşim) ve paket kaybı (yüzde). Ayrıca kullanılan bant genişliği ölçülebilir. Bu ölçümler mümkün olduğunca gerçek zamana yakın ve haklı olarak gerçekleşir ve bu ölçümlerin sonucu, PfR kullanan yönlendiricinin şu veya bu tür trafiğin yönlendirmesini değiştirme ihtiyacı hakkında dinamik olarak kararlar almasına olanak tanır.

Dolayısıyla DMVPN/PfR kombinasyonunun görevi kısaca şu şekilde açıklanabilir:

  • Müşterinin WAN ağındaki herhangi bir iletişim kanalını kullanmasına izin verin
  • Bu kanallardaki kritik uygulamaların mümkün olan en yüksek kalitede olmasını sağlayın

Cisco SD-WAN nedir?

Cisco SD-WAN, bir kuruluşun WAN ağını oluşturmak ve işletmek için SDN yaklaşımını kullanan bir teknolojidir. Bu özellikle, tüm çözüm bileşenlerinin merkezi orkestrasyonunu ve otomatik konfigürasyonunu sağlayan denetleyicilerin (yazılım öğeleri) kullanılması anlamına gelir. Kanonik SDN'den (Temiz Sayfa stili) farklı olarak Cisco SD-WAN, her biri kendi rolünü yerine getiren çeşitli denetleyici türleri kullanır; bu, daha iyi ölçeklenebilirlik ve coğrafi yedeklilik sağlamak amacıyla kasıtlı olarak yapılmıştır.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

SD-WAN söz konusu olduğunda, her türlü kanalı kullanma ve iş uygulamalarının çalışmasını sağlama görevi aynı kalıyor ancak aynı zamanda böyle bir ağın otomasyon, ölçeklendirme, güvenlik ve esneklik gereksinimleri de artıyor.

Farklılıkların tartışılması

Şimdi bu teknolojiler arasındaki farkları analiz etmeye başlarsak, bunlar aşağıdaki kategorilerden birine girecek:

  • Mimari farklılıklar: İşlevler çözümün çeşitli bileşenleri arasında nasıl dağıtılıyor, bu tür bileşenlerin etkileşimi nasıl organize ediliyor ve bu, teknolojinin yeteneklerini ve esnekliğini nasıl etkiliyor?
  • İşlevsellik: Bir teknolojinin yapıp diğerinin yapamadığı neyi yapabilir? Peki gerçekten bu kadar önemli mi?

Mimari farklılıklar nelerdir ve bunlar önemli midir?

Bu teknolojilerin her biri, yalnızca rolleri açısından değil, aynı zamanda birbirleriyle etkileşim biçimleri açısından da farklılık gösteren birçok "hareketli parçaya" sahiptir. Bu ilkelerin ne kadar iyi düşünüldüğü ve çözümün genel mekaniği, çözümün ölçeklenebilirliğini, hata toleransını ve genel verimliliğini doğrudan belirler.

Mimarinin çeşitli yönlerine daha ayrıntılı olarak bakalım:

Veri düzlemi – kaynak ve alıcı arasında kullanıcı trafiğinin iletilmesinden sorumlu çözümün bir parçası. DMVPN ve SD-WAN, Çok Noktalı GRE tünellerine dayalı olarak yönlendiricilerin kendisinde genellikle aynı şekilde uygulanır. Aradaki fark, bu tüneller için gerekli parametre setinin nasıl oluşturulduğudur:

  • в DMVPN/PfR Star veya Hub-n-Spoke topolojisine sahip yalnızca iki seviyeli bir düğüm hiyerarşisidir. Veri düzlemi bağlantısı oluşturmak için Hub'ın statik yapılandırması ve Spoke'un Hub'a statik bağlanmasının yanı sıra NHRP protokolü aracılığıyla etkileşim de gereklidir. Sonuç olarak, Hub'da değişiklik yapılmasını önemli ölçüde zorlaştırıyorörneğin yeni WAN kanallarının değiştirilmesi/bağlanması veya mevcut olanların parametrelerinin değiştirilmesiyle ilgili.
  • в SD-WAN kontrol düzlemi (OMP protokolü) ve düzenleme düzlemine (denetleyici tespiti ve NAT geçiş görevleri için vBond denetleyicisi ile etkileşim) dayalı olarak kurulu tünellerin parametrelerini tespit etmek için tamamen dinamik bir modeldir. Bu durumda hiyerarşik olanlar da dahil olmak üzere herhangi bir üst üste bindirilmiş topoloji kullanılabilir. Oluşturulan yer paylaşımlı tünel topolojisi dahilinde, her bir VPN'deki (VRF) mantıksal topolojinin esnek şekilde yapılandırılması mümkündür.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Kontrol Paneli – çözüm bileşenleri arasında yönlendirme ve diğer bilgilerin değişimi, filtrelenmesi ve değiştirilmesi işlevleri.

  • в DMVPN/PfR – yalnızca Hub ve Spoke yönlendiricileri arasında gerçekleştirilir. Konuşmacılar arasında yönlendirme bilgilerinin doğrudan değişimi mümkün değildir. Sonuç olarak, Çalışan bir Hub olmadan kontrol düzlemi ve veri düzlemi çalışamazBu, Hub'a her zaman karşılanamayacak ek yüksek kullanılabilirlik gereksinimleri getirir.
  • в SD-WAN – kontrol düzlemi hiçbir zaman doğrudan yönlendiriciler arasında gerçekleştirilmez – etkileşim, OMP protokolü temelinde gerçekleşir ve zorunlu olarak, dengeleme, coğrafi rezervasyon ve merkezi kontrol olanağı sağlayan ayrı bir özel vSmart denetleyici türü aracılığıyla gerçekleştirilir. sinyal yükü. OMP protokolünün bir diğer özelliği, kayıplara karşı önemli direnci ve kontrolörlerle iletişim kanalının hızından bağımsız olmasıdır (tabii ki makul sınırlar dahilinde). Bu da aynı derecede başarılı bir şekilde SD-WAN denetleyicilerini İnternet üzerinden erişilebilen genel veya özel bulutlara yerleştirmenize olanak tanır.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Politika düzlemi – dağıtılmış bir ağda trafik yönetimi politikalarının tanımlanmasından, dağıtılmasından ve uygulanmasından sorumlu çözümün bir parçası.

  • DMVPN – CLI veya Prime Altyapı şablonları aracılığıyla her yönlendiricide ayrı ayrı yapılandırılan hizmet kalitesi (QoS) politikalarıyla etkili bir şekilde sınırlıdır.
  • DMVPN/PfR – PfR politikaları, CLI aracılığıyla merkezi Ana Denetleyici (MC) yönlendiricisinde oluşturulur ve daha sonra otomatik olarak şube MC'lerine dağıtılır. Bu durumda, veri düzlemindekiyle aynı politika aktarım yolları kullanılır. Politikaların, yönlendirme bilgilerinin ve kullanıcı verilerinin alışverişini ayırma olanağı yoktur. Politika yayılımı, Hub ile Spoke arasında IP bağlantısının varlığını gerektirir. Bu durumda MC işlevi gerekirse bir DMVPN yönlendiriciyle birleştirilebilir. Merkezi politika oluşturmak için Prime Altyapı şablonlarını kullanmak mümkündür (ancak zorunlu değildir). Önemli bir özellik, politikanın ağ genelinde küresel olarak aynı şekilde oluşturulmasıdır - Bireysel segmentlere yönelik bireysel politikalar desteklenmiyor.
  • SD-WAN – trafik yönetimi ve hizmet kalitesi politikaları, (gerekirse) İnternet üzerinden de erişilebilen Cisco vManage grafik arayüzü aracılığıyla merkezi olarak belirlenir. Doğrudan veya dolaylı olarak vSmart denetleyicileri aracılığıyla (ilke türüne bağlı olarak) sinyal kanalları aracılığıyla dağıtılırlar. Yönlendiriciler arasındaki veri düzlemi bağlantısına bağlı değildirler çünkü denetleyici ile yönlendirici arasındaki mevcut tüm trafik yollarını kullanın.

    Farklı ağ bölümleri için farklı politikaları esnek bir şekilde formüle etmek mümkündür - politikanın kapsamı, çözümde sağlanan birçok benzersiz tanımlayıcı tarafından belirlenir - şube numarası, uygulama türü, trafik yönü vb.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Düzenleme düzlemi – bileşenlerin birbirini dinamik olarak algılamasına, sonraki etkileşimleri yapılandırmasına ve koordine etmesine olanak tanıyan mekanizmalar.

  • в DMVPN/PfR Yönlendiriciler arasındaki karşılıklı keşif, Hub aygıtlarının statik yapılandırmasına ve Spoke aygıtlarının karşılık gelen yapılandırmasına dayanır. Dinamik keşif yalnızca Hub bağlantı parametrelerini cihaza raporlayan ve Spoke ile önceden yapılandırılmış olan Spoke için gerçekleşir. Spoke ile en az bir Hub arasında IP bağlantısı olmadan, bir veri düzlemi veya kontrol düzlemi oluşturmak mümkün değildir.
  • в SD-WAN Çözüm bileşenlerinin orkestrasyonu, her bileşenin (yönlendiriciler ve vManage/vSmart denetleyicileri) öncelikle IP bağlantısı kurması gereken vBond denetleyicisi kullanılarak gerçekleşir.

    Başlangıçta bileşenler birbirlerinin bağlantı parametrelerini bilmiyorlar; bunun için vBond aracı orkestratöre ihtiyaçları var. Genel prensip şu şekildedir - ilk aşamadaki her bileşen yalnızca vBond'a bağlantı parametrelerini öğrenir (otomatik veya statik olarak), ardından vBond yönlendiriciyi vManage ve vSmart denetleyicileri (daha önce keşfedildi) hakkında bilgilendirir, bu da otomatik olarak kurulmasını mümkün kılar gerekli tüm sinyalizasyon bağlantıları.

    Bir sonraki adım, yeni yönlendiricinin vSmart denetleyicisi ile OMP iletişimi yoluyla ağdaki diğer yönlendiriciler hakkında bilgi edinmesidir. Böylece, yönlendirici, başlangıçta ağ parametreleri hakkında hiçbir şey bilmeden, denetleyicileri tam otomatik olarak algılayıp bunlara bağlanabilir ve ardından diğer yönlendiricileri de otomatik olarak algılayıp onlarla bağlantı kurabilir. Bu durumda tüm bileşenlerin bağlantı parametreleri başlangıçta bilinmez ve çalışma sırasında değişebilir.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Yönetim düzlemi – merkezi yönetim ve izleme sağlayan çözümün bir parçası.

  • DMVPN/PfR – özel bir yönetim düzlemi çözümü sağlanmamaktadır. Temel otomasyon ve izleme için Cisco Prime Infrastructure gibi ürünler kullanılabilir. Her yönlendiricinin CLI komut satırı üzerinden kontrol edilebilme özelliği vardır. API üzerinden dış sistemlerle entegrasyon sağlanmamaktadır.
  • SD-WAN – tüm düzenli etkileşim ve izleme, vManage denetleyicisinin grafik arayüzü aracılığıyla merkezi olarak gerçekleştirilir. Çözümün istisnasız tüm özellikleri, vManage aracılığıyla ve ayrıca tamamen belgelenmiş bir REST API kitaplığı aracılığıyla yapılandırma için kullanılabilir.

    vManage'deki tüm SD-WAN ağ ayarları iki ana yapıya indirgenir: cihaz şablonlarının oluşturulması (Cihaz Şablonu) ve ağ işleminin ve trafik işlemenin mantığını belirleyen bir politikanın oluşturulması. Aynı zamanda yönetici tarafından oluşturulan politikayı yayınlayan vManage, hangi değişikliklerin ve hangi bireysel cihazlarda/kontrolörlerde yapılması gerektiğini otomatik olarak seçer, bu da çözümün verimliliğini ve ölçeklenebilirliğini önemli ölçüde artırır.

    vManage arayüzü aracılığıyla, yalnızca Cisco SD-WAN çözümünün konfigürasyonu mümkün olmakla kalmaz, aynı zamanda bireysel tüneller için mevcut ölçüm durumuna ve çeşitli uygulamaların kullanımına ilişkin istatistiklere kadar çözümün tüm bileşenlerinin durumunun tam olarak izlenmesi sağlanır. DPI analizine dayanmaktadır.

    Etkileşimin merkezileştirilmesine rağmen, tüm bileşenler (kontrolörler ve yönlendiriciler), uygulama aşamasında veya acil bir durumda yerel teşhis için gerekli olan tamamen işlevsel bir CLI komut satırına sahiptir. Yönlendiricilerdeki normal modda (bileşenler arasında bir sinyal kanalı varsa), komut satırı yalnızca tanılama için kullanılabilir ve yerel değişiklikler yapmak için kullanılamaz; bu, yerel güvenliği garanti eder ve böyle bir ağdaki değişikliklerin tek kaynağı vManage'dir.

Entegre güvenlik – burada yalnızca açık kanallar üzerinden iletilen kullanıcı verilerinin korunmasından değil, aynı zamanda seçilen teknolojiye dayalı WAN ağının genel güvenliğinden de bahsetmeliyiz.

  • в DMVPN/PfR Kullanıcı verilerini ve sinyalleşme protokollerini şifrelemek mümkündür. Belirli yönlendirici modellerini kullanırken, trafik denetimli güvenlik duvarı işlevleri ve IPS/IDS ek olarak mevcuttur. VRF kullanarak şube ağlarını bölümlere ayırmak mümkündür. (Tek faktörlü) kontrol protokollerinin kimliğini doğrulamak mümkündür.

    Bu durumda, uzak yönlendirici varsayılan olarak ağın güvenilir bir öğesi olarak kabul edilir; Bireysel cihazların fiziksel güvenliğinin ihlal edildiği durumlar ve bunlara yetkisiz erişim olasılığı varsayılmaz veya dikkate alınmaz; coğrafi olarak dağıtılmış bir ağ durumunda, çözüm bileşenlerinin iki faktörlü kimlik doğrulaması yoktur; önemli ek riskler taşıyabilir.

  • в SD-WAN DMVPN'e benzer şekilde, kullanıcı verilerini şifreleme yeteneği sağlanır, ancak önemli ölçüde genişletilmiş ağ güvenliği ve L3/VRF segmentasyon işlevleri (güvenlik duvarı, IPS/IDS, URL filtreleme, DNS filtreleme, AMP/TG, SASE, TLS/SSL proxy, vb.) d.). Aynı zamanda, şifreleme anahtarlarının değişimi, güvenlik sertifikalarına dayalı DTLS/TLS şifrelemesi tarafından korunan önceden belirlenmiş sinyalleşme kanalları aracılığıyla (doğrudan yerine) vSmart denetleyicileri aracılığıyla daha verimli bir şekilde gerçekleştirilir. Bu da bu tür alışverişlerin güvenliğini garanti eder ve çözümün aynı ağ üzerinde on binlerce cihaza kadar daha iyi ölçeklenebilirliğini sağlar.

    Tüm sinyalleşme bağlantıları (kontrolörden kontrolöre, kontrolörden yönlendiriciye) ayrıca DTLS/TLS'ye göre korunur. Yönlendiriciler, üretim sırasında değiştirme/uzatma imkanı sunan güvenlik sertifikalarıyla donatılmıştır. İki faktörlü kimlik doğrulama, yönlendiricinin/denetleyicinin bir SD-WAN ağında çalışması için iki koşulun zorunlu ve eşzamanlı olarak yerine getirilmesiyle elde edilir:

    • Geçerli güvenlik sertifikası
    • Her bileşenin yönetici tarafından açık ve bilinçli olarak izin verilen cihazların "beyaz" listesine dahil edilmesi.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

SD-WAN ve DMVPN/PfR arasındaki işlevsel farklar

İşlevsel farklılıklara ilişkin bir tartışmaya geçersek, birçoğunun mimari olanların devamı olduğu unutulmamalıdır - geliştiricilerin bir çözümün mimarisini oluştururken sonunda elde etmek istedikleri yeteneklerden yola çıktıkları bir sır değildir. . İki teknoloji arasındaki en önemli farklara bakalım.

AppQ (Uygulama Kalitesi) – iş uygulaması trafiğinin iletim kalitesini sağlamaya yönelik işlevler

Göz önünde bulundurulan teknolojilerin temel işlevleri, iş açısından kritik uygulamaları dağıtılmış bir ağda kullanırken kullanıcı deneyimini mümkün olduğunca iyileştirmeyi amaçlamaktadır. Bu, özellikle altyapının bir kısmının BT tarafından kontrol edilmediği veya başarılı veri aktarımını garanti etmediği durumlarda önemlidir.

DMVPN'in kendisi bu tür mekanizmaları sağlamaz. Klasik bir DMVPN ağında yapılabilecek en iyi şey, giden trafiği uygulamaya göre sınıflandırmak ve WAN kanalına iletildiğinde önceliklendirmektir. Bir DMVPN tünelinin seçimi bu durumda yalnızca kullanılabilirliğine ve yönlendirme protokollerinin çalışmasının sonucuna göre belirlenir. Aynı zamanda, yolun/tünelin uçtan uca durumu ve olası kısmi bozulması, ağ uygulamaları için önemli olan gecikme, gecikme değişimi (titreşim) ve kayıplar (%) gibi temel ölçümler açısından dikkate alınmaz. ). Bu bağlamda, AppQ sorunlarını çözme açısından klasik DMVPN'i SD-WAN ile doğrudan karşılaştırmak tüm anlamını yitiriyor - DMVPN bu sorunu çözemez. Bu bağlama Cisco Performance Routing (PfR) teknolojisini de eklediğinizde durum değişiyor ve Cisco SD-WAN ile karşılaştırma daha anlamlı hale geliyor.

Farklılıkları tartışmadan önce, teknolojilerin nasıl benzer olduğuna kısaca bir göz atalım. Yani, her iki teknoloji de:

  • Kurulan her tünelin durumunu belirli ölçütler (en azından gecikme, gecikme değişimi ve paket kaybı (%)) açısından dinamik olarak değerlendirmenize olanak tanıyan bir mekanizmaya sahip olun
  • Önemli tünel metriklerinin durumunun ölçülmesinin sonuçlarını dikkate alarak trafik yönetimi kurallarını (politikalarını) oluşturmak, dağıtmak ve uygulamak için belirli bir araç seti kullanın.
  • uygulama trafiğini OSI modelinin L3-L4 (DSCP) seviyelerinde veya yönlendiricide yerleşik DPI mekanizmalarına dayalı L7 uygulama imzalarına göre sınıflandırır
  • Önemli uygulamalar için, metriklerin kabul edilebilir eşik değerlerini, trafiğin varsayılan olarak iletilmesine ilişkin kuralları ve eşik değerleri aşıldığında trafiğin yeniden yönlendirilmesine ilişkin kuralları belirlemenize olanak tanır.
  • Trafiği GRE/IPSec'te kapsüllerken, dahili DSCP işaretlerini harici GRE/IPSEC paket başlığına aktarmak için halihazırda kurulmuş endüstri mekanizmasını kullanırlar; bu, kuruluşun ve telekom operatörünün (uygun bir SLA varsa) QoS politikalarının senkronize edilmesine olanak tanır. .

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

SD-WAN ve DMVPN/PfR uçtan uca ölçümleri nasıl farklılık gösterir?

DMVPN/PfR

  • Standart tünel sağlık ölçümlerini değerlendirmek için hem aktif hem de pasif yazılım sensörleri (Problar) kullanılır. Aktif olanlar kullanıcı trafiğini temel alır, pasif olanlar ise bu tür trafiği taklit eder (yokluğunda).
  • Zamanlayıcıların ve bozulma tespit koşullarının ince ayarı yoktur; algoritma sabittir.
  • Ek olarak, kullanılan bant genişliğinin çıkış yönünde ölçümü de mevcuttur. Bu da DMVPN/PfR'ye ek trafik yönetimi esnekliği ekler.
  • Aynı zamanda, bazı PfR mekanizmaları, metrikler aşıldığında, trafik alıcısından kaynağa doğru gelmesi gereken özel TCA (Eşik Geçiş Uyarısı) mesajları formundaki geri bildirim sinyallerine dayanır ve bu da trafik durumunun normal olduğunu varsayar. ölçülen kanallar en azından bu tür TCA mesajlarının iletimi için yeterli olmalıdır. Çoğu durumda bu bir sorun değildir, ancak elbette garanti edilemez.

SD-WAN

  • Standart tünel durumu ölçümlerinin uçtan uca değerlendirilmesi için yankı modunda BFD protokolü kullanılır. Bu durumda, TCA veya benzeri mesajlar biçiminde özel geri bildirim gerekli değildir; arıza alanlarının izolasyonu korunur. Ayrıca tünel durumunu değerlendirmek için kullanıcı trafiğinin varlığına da gerek yoktur.
  • İletişim kanalının birkaç saniyeden dakikalara kadar bozulmasına karşı algoritmanın yanıt hızını ve hassasiyetini düzenlemek için BFD zamanlayıcılarına ince ayar yapmak mümkündür.

    Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

  • Bu yazının yazıldığı sırada her tünelde yalnızca bir BFD oturumu bulunmaktadır. Bu potansiyel olarak tünel durumu analizinde daha az ayrıntı düzeyi yaratır. Gerçekte, bu yalnızca üzerinde anlaşmaya varılmış bir QoS SLA'sı olan MPLS L2/L3 VPN'i temel alan bir WAN bağlantısı kullanıyorsanız - BFD trafiğinin DSCP işaretlemesi (IPSec/GRE'de kapsüllemeden sonra) yüksek öncelikli kuyrukla eşleşiyorsa bir sınırlama haline gelebilir. Telekom operatörünün ağı, bu durumda düşük öncelikli trafik için bozulma tespitinin doğruluğunu ve hızını etkileyebilir. Aynı zamanda bu tür durumların riskini azaltmak için varsayılan BFD etiketlemesini değiştirmek de mümkündür. Cisco SD-WAN yazılımının gelecek sürümlerinde, daha ince ayarlı BFD ayarlarının yanı sıra, aynı tünel içinde bireysel DSCP değerleriyle (farklı uygulamalar için) birden fazla BFD oturumu başlatma yeteneği de bekleniyor.
  • BFD ayrıca, belirli bir tünelden parçalanma olmadan iletilebilecek maksimum paket boyutunu tahmin etmenize olanak tanır. Bu, SD-WAN'ın, her bağlantıda mevcut bant genişliğinden en iyi şekilde yararlanmak için MTU ve TCP MSS Ayarı gibi parametreleri dinamik olarak ayarlamasına olanak tanır.
  • SD-WAN'da, telekom operatörlerinden QoS senkronizasyonu seçeneği de mevcuttur; bu seçenek yalnızca L3 DSCP alanlarına dayalı olarak değil, aynı zamanda şube ağında özel cihazlar (örneğin IP) tarafından otomatik olarak oluşturulabilen L2 CoS değerlerine de dayalıdır. telefonlar

AppQ politikalarını tanımlama ve uygulama yetenekleri ve yöntemleri nasıl farklılık gösterir?

DMVPN/PfR Politikaları:

  • CLI komut satırı veya CLI yapılandırma şablonları aracılığıyla merkezi şube yönlendiricilerinde tanımlanır. CLI şablonları oluşturmak, politika sözdizimine ilişkin hazırlık ve bilgi gerektirir.

    Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

  • Küresel olarak tanımlandı Bireysel ağ segmentlerinin gereksinimlerine göre bireysel konfigürasyon/değişim imkanı olmadan.
  • Grafik arayüzde etkileşimli politika üretimi sağlanmamaktadır.
  • Hızlı geçiş için değişiklikleri izleme, devralma ve ilkelerin birden çok sürümünü oluşturma sağlanmaz.
  • Uzak şubelerin yönlendiricilerine otomatik olarak dağıtılır. Bu durumda kullanıcı verilerinin iletilmesi için kullanılan iletişim kanalları kullanılır. Merkez ile uzak şube arasında iletişim kanalı yoksa poliçe dağıtımı/değişimi mümkün değildir.
  • Her yönlendiricide kullanılırlar ve gerekirse standart yönlendirme protokollerinin sonucunu daha yüksek önceliğe sahip olarak değiştirirler.
  • Tüm şube WAN bağlantılarının önemli miktarda trafik kaybı yaşadığı durumlarda, herhangi bir telafi mekanizması sağlanmadı.

SD-WAN Politikaları:

  • Etkileşimli şablon sihirbazı aracılığıyla vManage GUI'sinde tanımlanır.
  • Gerçek zamanlı olarak birden fazla politika oluşturmayı, kopyalamayı, devralmayı ve politikalar arasında geçiş yapmayı destekler.
  • Farklı ağ segmentleri (şubeler) için bireysel politika ayarlarını destekler
  • Denetleyici ile yönlendirici ve/veya vSmart arasında mevcut herhangi bir sinyal kanalı kullanılarak dağıtılırlar; yönlendiriciler arasındaki veri düzlemi bağlantısına doğrudan bağlı değildirler. Bu, elbette, yönlendiricinin kendisi ile denetleyiciler arasında IP bağlantısı gerektirir.

    Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

  • Bir şubenin tüm mevcut şubelerinin, kritik uygulamalar için kabul edilebilir eşikleri aşan önemli veri kayıpları yaşadığı durumlarda, iletim güvenilirliğini artıran ek mekanizmaların kullanılması mümkündür:
    • FEC (İleri Hata Düzeltme) – özel bir yedekli kodlama algoritması kullanır. Kritik trafiği önemli oranda kayıp içeren kanallar üzerinden aktarırken, FEC otomatik olarak etkinleştirilebilir ve gerekirse verilerin kayıp kısmının geri yüklenmesine olanak tanır. Bu, kullanılan iletim bant genişliğini biraz artırır, ancak güvenilirliği önemli ölçüde artırır.

      Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

    • Veri akışlarının çoğaltılması – FEC'e ek olarak politika, FEC tarafından telafi edilemeyecek daha ciddi düzeyde kayıplar olması durumunda seçilen uygulamaların trafiğinin otomatik olarak çoğaltılmasını sağlayabilir. Bu durumda, seçilen veriler tüm tüneller üzerinden alıcı şubeye doğru iletilecek ve ardından tekilleştirme (paketlerin fazladan kopyalarının bırakılması) gerçekleştirilecektir. Mekanizma, kanal kullanımını önemli ölçüde artırır, ancak aynı zamanda iletim güvenilirliğini de önemli ölçüde artırır.

DMVPN/PfR'de doğrudan analogları olmayan Cisco SD-WAN özellikleri

Cisco SD-WAN çözümünün mimarisi, bazı durumlarda DMVPN/PfR içerisinde uygulanması son derece zor olan veya gerekli işçilik maliyetleri nedeniyle pratik olmayan veya tamamen imkansız olan yetenekleri elde etmenize olanak tanır. Bunlardan en ilginç olanlarına bakalım:

Trafik Mühendisliği (TE)

TE, trafiğin yönlendirme protokolleri tarafından oluşturulan standart yoldan ayrılmasına izin veren mekanizmalar içerir. TE genellikle, daha iyi hizmet kalitesi veya arıza durumunda kurtarma hızı sağlamak amacıyla kritik trafiği hızlı ve/veya proaktif bir şekilde alternatif (ayrık) bir iletim yoluna aktarma yeteneği aracılığıyla ağ hizmetlerinin yüksek düzeyde kullanılabilirliğini sağlamak için kullanılır. ana yol üzerinde.

TE'yi uygulamanın zorluğu, alternatif bir yolu önceden hesaplama ve rezerve etme (kontrol etme) ihtiyacından kaynaklanmaktadır. Telekom operatörlerinin MPLS ağlarında bu sorun, IGP protokollerinin ve RSVP protokolünün uzantılarıyla MPLS Trafik Mühendisliği gibi teknolojiler kullanılarak çözülür. Ayrıca son zamanlarda merkezi konfigürasyon ve orkestrasyon için daha optimize edilmiş olan Segment Yönlendirme teknolojisi giderek daha popüler hale geldi. Klasik WAN ağlarında, bu teknolojiler genellikle temsil edilmez veya trafiği dallandırabilen Politika Tabanlı Yönlendirme (PBR) gibi atlamadan atlama mekanizmalarının kullanımına indirgenir, ancak bunu her yönlendiricide ayrı ayrı uygular. Önceki veya sonraki adımlarda ağın veya PBR sonucunun genel durumu dikkate alınır. Bu TE seçeneklerini kullanmanın sonucu hayal kırıklığı yaratıyor - MPLS TE, konfigürasyon ve operasyonun karmaşıklığı nedeniyle, kural olarak yalnızca ağın en kritik kısmında (çekirdek) kullanılır ve PBR, bireysel yönlendiricilerde, tüm ağ için birleşik bir PBR politikası oluşturma yeteneği. Açıkçası bu aynı zamanda DMVPN tabanlı ağlar için de geçerlidir.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

SD-WAN bu açıdan hem yapılandırması kolay hem de çok daha iyi ölçeklenen çok daha şık bir çözüm sunuyor. Bu, kullanılan kontrol düzlemi ve politika düzlemi mimarilerinin bir sonucudur. SD-WAN'da bir politika düzlemi uygulamak, TE politikasını merkezi olarak tanımlamanıza olanak tanır; hangi trafik ilgi çekicidir? hangi VPN'ler için? Hangi düğüm noktalarından/tünellerden alternatif bir rota oluşturmak gerekli veya tam tersi yasaktır? Buna karşılık, vSmart denetleyicilerine dayanan kontrol düzlemi yönetiminin merkezileştirilmesi, bireysel cihazların ayarlarına başvurmadan yönlendirme sonuçlarını değiştirmenize olanak tanır; yönlendiriciler zaten yalnızca vManage arayüzünde oluşturulan ve kullanım için aktarılan mantığın sonucunu görür. vSmart.

Hizmet zinciri oluşturma

Hizmet zincirlerinin oluşturulması, klasik yönlendirmede daha önce açıklanan Trafik Mühendisliği mekanizmasından çok daha emek yoğun bir iştir. Aslında, bu durumda, yalnızca belirli bir ağ uygulaması için özel bir rota oluşturmak değil, aynı zamanda SD-WAN ağının belirli (veya tüm) düğümlerindeki trafiği ağdan işlenmek üzere kaldırma yeteneğini sağlamak da gereklidir. özel bir uygulama veya hizmet (Güvenlik Duvarı, Dengeleme, Önbelleğe Alma, Trafiği İnceleme vb.). Aynı zamanda kara delik durumlarının önlenmesi için bu dış servislerin durumunun kontrol edilebilmesi ve aynı türdeki bu tür dış servislerin farklı coğrafi konumlara yerleştirilmesine olanak tanıyan mekanizmalara da ihtiyaç vardır. ağın belirli bir şubenin trafiğini işlemek için en uygun hizmet düğümünü otomatik olarak seçme yeteneği ile. Cisco SD-WAN örneğinde, hedef hizmet zincirinin tüm yönlerini tek bir bütün halinde "yapıştıran" ve veri düzlemi ile kontrol düzlemi mantığını yalnızca gerekli durumlarda otomatik olarak değiştiren uygun bir merkezi politika oluşturarak bunu başarmak oldukça kolaydır. ve gerektiğinde.

Cisco SD-WAN, DMVPN'in bulunduğu şubeyi kesecek mi?

Seçilen uygulama türlerinin trafiğinin özel (ancak SD-WAN ağının kendisi ile ilgili olmayan) ekipman üzerinde belirli bir sırayla coğrafi olarak dağıtılmış işlenmesini oluşturma yeteneği, Cisco SD-WAN'ın klasiklere göre avantajlarının belki de en açık göstergesidir. teknolojiler ve hatta bazı alternatif SD çözümleri - diğer üreticilerin WAN'ı.

Sonuç?

Açıkçası, hem DMVPN (Performans Yönlendirmeli veya Yönlendirmesiz) hem de Cisco SD-WAN sonunda çok benzer problemleri çözüyoruz kuruluşun dağıtılmış WAN ağıyla ilgili olarak. Aynı zamanda Cisco SD-WAN teknolojisindeki önemli mimari ve işlevsel farklılıklar da bu sorunların çözüm sürecine yol açmaktadır. başka bir kalite seviyesine. Özetlemek gerekirse, SD-WAN ve DMVPN/PfR teknolojileri arasında aşağıdaki önemli farklara dikkat çekebiliriz:

  • DMVPN/PfR genel olarak yer paylaşımlı VPN ağları oluşturmak için zaman içinde test edilmiş teknolojiler kullanır ve veri düzlemi açısından daha modern SD-WAN teknolojisine benzer, ancak zorunlu statik yapılandırma biçiminde bir takım sınırlamalar vardır. yönlendirici sayısı ve topoloji seçimi Hub-n-Spoke ile sınırlıdır. Öte yandan, DMVPN/PfR'nin henüz SD-WAN'da bulunmayan bazı işlevleri vardır (uygulama başına BFD'den bahsediyoruz).
  • Kontrol düzleminde teknolojiler temel olarak farklılık gösterir. Sinyal protokollerinin merkezi olarak işlenmesini dikkate alan SD-WAN, özellikle arıza etki alanlarını önemli ölçüde daraltmaya ve kullanıcı trafiğini sinyal etkileşiminden aktarma sürecini "ayırmaya" olanak tanır - denetleyicilerin geçici olarak kullanılamaması, kullanıcı trafiğini aktarma yeteneğini etkilemez . Aynı zamanda, herhangi bir şubenin (merkezi şube dahil) geçici olarak kullanılamaması, diğer şubelerin birbirleriyle ve kontrolörlerle etkileşime girme yeteneğini hiçbir şekilde etkilemez.
  • SD-WAN durumunda trafik yönetimi politikalarının oluşturulması ve uygulanmasına yönelik mimari de DMVPN/PfR'dekinden daha üstündür - coğrafi rezervasyon çok daha iyi uygulanır, Hub ile bağlantı yoktur, daha fazla para cezası fırsatı vardır Politikaların ayarlanmasıyla, uygulanan trafik yönetimi senaryolarının listesi de çok daha büyüktür.
  • Çözüm düzenleme süreci de önemli ölçüde farklıdır. DMVPN, konfigürasyona bir şekilde yansıtılması gereken önceden bilinen parametrelerin varlığını varsayar, bu da çözümün esnekliğini ve dinamik değişiklik olasılığını bir şekilde sınırlandırır. Buna karşılık, SD-WAN, bağlantının ilk anında yönlendiricinin denetleyicileri hakkında "hiçbir şey bilmediği", ancak "kime sorabileceğinizi" bildiği paradigmasına dayanmaktadır - bu yalnızca otomatik olarak iletişim kurmak için yeterli değildir. denetleyicilerin yanı sıra, daha sonra politikalar kullanılarak esnek bir şekilde yapılandırılabilen/değiştirilebilen, tamamen bağlantılı bir veri düzlemi topolojisinin otomatik olarak oluşturulmasını da sağlar.
  • Merkezi yönetim, otomasyon ve izleme açısından SD-WAN'ın, klasik teknolojilerden gelişen ve daha çok CLI komut satırına ve şablon tabanlı NMS sistemlerinin kullanımına dayanan DMVPN/PfR'nin yeteneklerini aşması bekleniyor.
  • SD-WAN'da DMVPN ile karşılaştırıldığında güvenlik gereksinimleri farklı bir niteliksel seviyeye ulaştı. Ana ilkeler sıfır güven, ölçeklenebilirlik ve iki faktörlü kimlik doğrulamadır.

Bu basit sonuçlar, DMVPN/PfR'ye dayalı bir ağ oluşturmanın bugün tüm geçerliliğini yitirdiği yönünde yanlış bir izlenim verebilir. Bu elbette tamamen doğru değil. Örneğin, ağın çok sayıda eski ekipman kullandığı ve bunları değiştirmenin bir yolu olmadığı durumlarda, DMVPN, "eski" ve "yeni" cihazları, açıklanan avantajların çoğuyla birlikte coğrafi olarak dağıtılmış tek bir ağda birleştirmenize olanak sağlayabilir. üstünde.

Öte yandan, IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) tabanlı mevcut tüm Cisco kurumsal yönlendiricilerinin bugün herhangi bir işletim modunu (hem klasik yönlendirme hem de DMVPN ve SD-WAN) desteklediği unutulmamalıdır. seçim, mevcut ihtiyaçlara ve her an aynı ekipmanı kullanarak daha ileri teknolojiye doğru ilerlemeye başlayabileceğiniz anlayışına göre belirlenir.

Kaynak: habr.com

Yorum ekle