Cisco SD-WAN DMVPN o'tirgan filialni kesib tashlaydimi?

2017-yil avgust oyidan boshlab, Cisco Viptela-ni sotib olgach, taqsimlangan korporativ tarmoqlarni tashkil qilish uchun taklif qilinadigan asosiy texnologiya aylandi. Cisco SD-WAN. So'nggi 3 yil ichida SD-WAN texnologiyasi sifat va miqdoriy jihatdan juda ko'p o'zgarishlarni boshdan kechirdi. Shunday qilib, funksionallik sezilarli darajada kengaydi va seriyaning klassik routerlarida qo'llab-quvvatlash paydo bo'ldi Cisco ISR 1000, ISR 4000, ASR 1000 va Virtual CSR 1000v. Shu bilan birga, ko'plab Cisco mijozlari va hamkorlari hayron qolishda davom etadilar: kabi texnologiyalarga asoslangan Cisco SD-WAN va allaqachon tanish yondashuvlar o'rtasidagi farqlar qanday Cisco DMVPN и Cisco Performance Routing va bu farqlar qanchalik muhim?

Bu erda biz darhol ta'kidlashimiz kerakki, Cisco portfelida SD-WAN paydo bo'lishidan oldin, DMVPN PfR bilan birgalikda arxitekturaning asosiy qismini tashkil qilgan. Cisco IWAN (Intelligent WAN), bu o'z navbatida to'liq SD-WAN texnologiyasining salafi edi. Yechilayotgan vazifalar va ularni hal qilish usullarining umumiy o'xshashligiga qaramay, IWAN hech qachon SD-WAN uchun zarur bo'lgan avtomatlashtirish, moslashuvchanlik va miqyoslash darajasini olmagan va vaqt o'tishi bilan IWAN rivojlanishi sezilarli darajada kamaydi. Shu bilan birga, IWANni tashkil etuvchi texnologiyalar yo'qolmadi va ko'plab mijozlar ulardan muvaffaqiyatli foydalanishda davom etmoqdalar, shu jumladan zamonaviy uskunalarda. Natijada, qiziqarli vaziyat yuzaga keldi - xuddi shu Cisco uskunasi mijozlar talablari va umidlariga muvofiq eng mos WAN texnologiyasini (klassik, DMVPN+PfR yoki SD-WAN) tanlash imkonini beradi.

Maqolada Cisco SD-WAN va DMVPN texnologiyalarining barcha xususiyatlarini (Performance Routing bilan yoki bo'lmagan holda) batafsil tahlil qilish niyati yo'q - buning uchun juda ko'p hujjatlar va materiallar mavjud. Asosiy vazifa - bu texnologiyalar o'rtasidagi asosiy farqlarni baholashga harakat qilish. Ammo bu farqlarni muhokama qilishdan oldin, keling, texnologiyalarning o'zlarini qisqacha eslaylik.

Cisco DMVPN nima va u nima uchun kerak?

Cisco DMVPN aloqa kanallarining ixtiyoriy turlaridan, shu jumladan Internetdan (= aloqa kanalini shifrlash bilan) foydalanganda uzoq filial tarmog'ini korxonaning markaziy idorasi tarmog'iga dinamik (= masshtabli) ulash muammosini hal qiladi. Texnik jihatdan, bu "Yulduz" tipidagi (Hub-n-Spoke) mantiqiy topologiyasi bilan nuqtadan ko'p nuqtaga rejimida L3 VPN sinfining virtualizatsiyalangan overlay tarmog'ini yaratish orqali amalga oshiriladi. Bunga erishish uchun DMVPN quyidagi texnologiyalarning kombinatsiyasidan foydalanadi:

• IP marshrutlash
• Ko'p nuqtali GRE tunnellari (mGRE)
• Next Hop Resolution Protocol (NHRP)
• IPSec Crypto profillari

MPLS VPN kanallari yordamida klassik marshrutlash bilan solishtirganda Cisco DMVPN ning asosiy afzalliklari nimada?

• Tarmoqlararo tarmoqni yaratish uchun har qanday aloqa kanallaridan foydalanish mumkin - filiallar o'rtasida IP ulanishini ta'minlaydigan har qanday narsa mos keladi, shu bilan birga trafik shifrlangan (kerak bo'lganda) va muvozanatlangan (imkoniyat bo'lsa) bo'ladi.
• Filiallar o'rtasida to'liq bog'langan topologiya avtomatik ravishda shakllanadi. Bunda markaziy va olis shoxchalar oʻrtasida statik tunnellar, talab boʻyicha esa olis shoxlar oʻrtasida dinamik tunnellar (trafik mavjud boʻlsa) mavjud.
• Markaziy va masofaviy filialning marshrutizatorlari interfeyslarning IP-manzillarigacha bir xil konfiguratsiyaga ega. mGRE-dan foydalanib, o'nlab, yuzlab va hatto minglab tunnellarni alohida sozlashning hojati yo'q. Natijada, to'g'ri dizayn bilan munosib miqyoslilik.

Cisco Performance Routing nima va u nima uchun kerak?

Tarmoqlararo tarmoqda DMVPN-dan foydalanilganda, bitta o'ta muhim savol hal qilinmayapti - har bir DMVPN tunnelining holatini tashkilotimiz uchun muhim bo'lgan trafik talablariga muvofiqligi uchun qanday dinamik ravishda baholash va yana, bunday baholash asosida dinamik ravishda qanday qilish kerak. yo'nalishni o'zgartirish to'g'risida qaror? Gap shundaki, bu qismdagi DMVPN klassik marshrutlashdan unchalik farq qilmaydi - eng yaxshisi, chiquvchi yo'nalishdagi trafikni birinchi o'ringa qo'yishga imkon beradigan QoS mexanizmlarini sozlashdir, lekin hech qanday holatda uning holatini hisobga olmaydi. bir vaqtning o'zida butun yo'l.

Va agar kanal qisman va to'liq bo'lmasa, nima qilish kerak - buni qanday aniqlash va baholash kerak? DMVPN o'zi buni qila olmaydi. Filiallarni bog'laydigan kanallar mutlaqo boshqa texnologiyalardan foydalangan holda mutlaqo boshqa aloqa operatorlari orqali o'tishi mumkinligini hisobga olsak, bu vazifa juda ahamiyatsiz bo'lib qoladi. Va bu erda Cisco Performance Routing texnologiyasi yordamga keladi, bu vaqtga qadar rivojlanishning bir necha bosqichlarini bosib o'tgan edi.

Cisco Performance Routing (keyingi o'rinlarda PfR) vazifasi tarmoq ilovalari uchun muhim bo'lgan asosiy ko'rsatkichlar asosida trafik yo'llari (tunnellari) holatini o'lchashdan iborat - kechikish, kechikish o'zgarishi (jitter) va paketlarni yo'qotish (foiz). Bundan tashqari, foydalanilgan tarmoqli kengligi o'lchanishi mumkin. Ushbu o'lchovlar imkon qadar real vaqtga yaqin va asosli ravishda sodir bo'ladi va bu o'lchovlar natijasi PfR-dan foydalanadigan marshrutizatorga u yoki bu turdagi trafikning marshrutini o'zgartirish zarurati to'g'risida dinamik ravishda qaror qabul qilish imkonini beradi.

Shunday qilib, DMVPN/PfR kombinatsiyasining vazifasini qisqacha quyidagicha ta'riflash mumkin:

• Mijozga WAN tarmog'idagi har qanday aloqa kanallaridan foydalanishga ruxsat bering
• Ushbu kanallarda muhim ilovalarning mumkin bo'lgan eng yuqori sifatini ta'minlang

Cisco SD-WAN nima?

Cisco SD-WAN - bu tashkilotning WAN tarmog'ini yaratish va boshqarish uchun SDN yondashuvidan foydalanadigan texnologiya. Bu, xususan, barcha yechim komponentlarini markazlashtirilgan orkestratsiya va avtomatlashtirilgan konfiguratsiyani ta'minlaydigan boshqaruvchilar (dasturiy ta'minot elementlari) dan foydalanishni anglatadi. Kanonik SDN (Clean Slate uslubi) dan farqli o'laroq, Cisco SD-WAN bir necha turdagi kontrollerlardan foydalanadi, ularning har biri o'z rolini bajaradi - bu yaxshi miqyoslash va geografik ortiqchalikni ta'minlash uchun ataylab qilingan.

SD-WAN holatida har qanday turdagi kanallardan foydalanish va biznes-ilovalarning ishlashini ta'minlash vazifasi bir xil bo'lib qoladi, lekin shu bilan birga, bunday tarmoqni avtomatlashtirish, masshtablash, xavfsizlik va moslashuvchanlik talablari kengayadi.

Farqlarni muhokama qilish

Agar biz ushbu texnologiyalar o'rtasidagi farqlarni tahlil qilishni boshlasak, ular quyidagi toifalardan biriga kiradi:

• Arxitekturadagi farqlar – funksiyalar yechimning turli komponentlari bo‘yicha qanday taqsimlangan, bunday komponentlarning o‘zaro ta’siri qanday tashkil etilgan va bu texnologiyaning imkoniyatlari va moslashuvchanligiga qanday ta’sir qiladi?
• Funktsionallik - bir texnologiya nima qila oladi, boshqasi qila olmaydi? Va bu haqiqatan ham juda muhimmi?

Arxitekturadagi farqlar qanday va ular muhimmi?

Ushbu texnologiyalarning har birida ko'plab "harakatlanuvchi qismlar" mavjud bo'lib, ular nafaqat o'z rollarida, balki bir-biri bilan o'zaro ta'sirida ham farqlanadi. Ushbu tamoyillar qanchalik to'g'ri o'ylangan va yechimning umumiy mexanikasi to'g'ridan-to'g'ri uning kengayishi, xatolarga chidamliligi va umumiy samaradorligini aniqlaydi.

Keling, arxitekturaning turli jihatlarini batafsil ko'rib chiqaylik:

Ma'lumotlar tekisligi - manba va qabul qiluvchi o'rtasida foydalanuvchi trafigini uzatish uchun mas'ul bo'lgan yechimning bir qismi. DMVPN va SD-WAN odatda ko'p nuqtali GRE tunnellari asosida marshrutizatorlarning o'zida bir xil tarzda amalga oshiriladi. Farqi shundaki, ushbu tunnellar uchun kerakli parametrlar to'plami qanday shakllantirilgan:

• в DMVPN/PfR Star yoki Hub-n-Spoke topologiyasiga ega bo'lgan tugunlarning faqat ikki darajali ierarxiyasidir. Hubning statik konfiguratsiyasi va Spoke-ning Hubga statik ulanishi, shuningdek, ma'lumotlar tekisligi ulanishini yaratish uchun NHRP protokoli orqali o'zaro ta'sir qilish talab etiladi. Binobarin, Hubga o'zgartirishlarni sezilarli darajada qiyinlashtiradimasalan, yangi WAN kanallarini o'zgartirish/ulash yoki mavjudlarining parametrlarini o'zgartirish bilan bog'liq.
• в SD WAN boshqaruv tekisligi (OMP protokoli) va orkestratsiya tekisligiga asoslangan o'rnatilgan tunnellarning parametrlarini aniqlash uchun to'liq dinamik model (kontrollerni aniqlash va NAT o'tish vazifalari uchun vBond kontrolleri bilan o'zaro ta'sir). Bunday holda, har qanday ustki topologiyalardan, shu jumladan ierarxiklardan ham foydalanish mumkin. Belgilangan qatlamli tunnel topologiyasi doirasida har bir alohida VPN(VRF) da mantiqiy topologiyaning moslashuvchan konfiguratsiyasi mumkin.

Boshqaruv tekisligi – yechim komponentlari o‘rtasida marshrutlash va boshqa ma’lumotlarni almashish, filtrlash va o‘zgartirish funksiyalari.

• в DMVPN/PfR – faqat Hub va Spoke routerlari orasida amalga oshiriladi. Spokes o'rtasida marshrutlash ma'lumotlarini to'g'ridan-to'g'ri almashish mumkin emas. Binobarin, Faoliyat uyasi bo'lmasa, boshqaruv tekisligi va ma'lumotlar tekisligi ishlamaydi, bu Hubga har doim ham bajarib bo'lmaydigan qo'shimcha yuqori mavjudlik talablarini qo'yadi.
• в SD WAN - boshqaruv tekisligi hech qachon marshrutizatorlar o'rtasida to'g'ridan-to'g'ri amalga oshirilmaydi - o'zaro ta'sir OMP protokoli asosida amalga oshiriladi va majburiy ravishda balanslash, geo-zahira va markazlashtirilgan boshqarish imkoniyatini ta'minlaydigan alohida ixtisoslashtirilgan vSmart kontroller turi orqali amalga oshiriladi. signal yuki. OMP protokolining yana bir xususiyati - bu yo'qotishlarga sezilarli qarshilik va boshqaruvchilar bilan aloqa kanalining tezligidan mustaqillik (albatta, oqilona chegaralar ichida). Bu sizga SD-WAN kontrollerlarini Internet orqali kirish imkoni bo'lgan umumiy yoki shaxsiy bulutlarga joylashtirish imkonini beradi.

Siyosat tekisligi - taqsimlangan tarmoqda trafikni boshqarish siyosatini aniqlash, tarqatish va qo'llash uchun mas'ul bo'lgan yechimning bir qismi.

• DMVPN – CLI yoki Prime Infrastructure shablonlari orqali har bir marshrutizatorda alohida sozlangan xizmat sifati (QoS) siyosati bilan samarali cheklangan.
• DMVPN/PfR – PfR siyosatlari CLI orqali markazlashtirilgan Master Controller (MC) marshrutizatorida shakllantiriladi va keyin avtomatik ravishda filial MClariga tarqatiladi. Bunday holda, ma'lumotlar tekisligi bilan bir xil siyosat uzatish yo'llari qo'llaniladi. Siyosat, marshrutlash ma'lumotlari va foydalanuvchi ma'lumotlari almashinuvini ajratish imkoniyati yo'q. Siyosatning tarqalishi Hub va Spoke o'rtasida IP ulanishining mavjudligini talab qiladi. Bunday holda, MC funktsiyasi, agar kerak bo'lsa, DMVPN router bilan birlashtirilishi mumkin. Markazlashtirilgan siyosat yaratish uchun Prime Infrastructure shablonlaridan foydalanish mumkin (lekin shart emas). Muhim xususiyat shundaki, siyosat butun tarmoq bo'ylab xuddi shunday tarzda shakllanadi - Alohida segmentlar uchun individual siyosatlar qo'llab-quvvatlanmaydi.
• SD WAN – trafikni boshqarish va xizmat ko‘rsatish sifati siyosati markaziy ravishda Cisco vManage grafik interfeysi orqali aniqlanadi, Internet orqali ham foydalanish mumkin (agar kerak bo‘lsa). Ular signalizatsiya kanallari orqali to'g'ridan-to'g'ri yoki bilvosita vSmart kontrollerlari orqali taqsimlanadi (siyosat turiga qarab). Ular marshrutizatorlar orasidagi ma'lumotlar tekisligiga bog'liq emas, chunki kontroller va router o'rtasidagi barcha mavjud transport yo'llaridan foydalaning.

  Turli xil tarmoq segmentlari uchun turli xil siyosatlarni moslashuvchan tarzda shakllantirish mumkin - siyosat doirasi yechimda taqdim etilgan ko'plab noyob identifikatorlar bilan belgilanadi - filial raqami, dastur turi, trafik yo'nalishi va boshqalar.

Orkestr-samolyot - komponentlarga bir-birini dinamik ravishda aniqlash, keyingi o'zaro ta'sirlarni sozlash va muvofiqlashtirish imkonini beruvchi mexanizmlar.

• в DMVPN/PfR Routerlar o'rtasidagi o'zaro kashfiyot Hub qurilmalarining statik konfiguratsiyasi va Spoke qurilmalarining mos keladigan konfiguratsiyasiga asoslanadi. Dinamik kashfiyot faqat Spoke uchun sodir bo'ladi, u o'zining Hub ulanish parametrlarini qurilmaga xabar qiladi, bu esa o'z navbatida Spoke bilan oldindan sozlangan. Spoke va kamida bitta Hub o'rtasida IP-ulanishsiz, na ma'lumotlar tekisligini, na boshqaruv tekisligini shakllantirish mumkin emas.
• в SD WAN Yechim komponentlarini orkestrlash vBond kontrolleri yordamida amalga oshiriladi, uning yordamida har bir komponent (marshrutizatorlar va vManage/vSmart kontrollerlari) avval IP ulanishini o'rnatishi kerak.

  Dastlab, komponentlar bir-birining ulanish parametrlari haqida bilishmaydi - buning uchun ularga vBond vositachi orkestratori kerak. Umumiy printsip quyidagicha - boshlang'ich bosqichdagi har bir komponent (avtomatik yoki statik) faqat vBond-ga ulanish parametrlarini o'rganadi, keyin vBond routerga vManage va vSmart kontrollerlari (ilgari kashf etilgan) haqida xabar beradi, bu esa avtomatik ravishda o'rnatish imkonini beradi. barcha kerakli signalizatsiya ulanishlari.

  Keyingi qadam, yangi marshrutizator uchun vSmart kontrolleri bilan OMP aloqasi orqali tarmoqdagi boshqa marshrutizatorlar haqida bilib olishdir. Shunday qilib, marshrutizator, dastlab tarmoq parametrlari haqida hech narsa bilmasdan, to'liq avtomatik ravishda tekshirgichlarni aniqlay oladi va ularga ulanishi mumkin, shuningdek, avtomatik ravishda boshqa routerlar bilan ulanishni aniqlaydi va shakllantiradi. Bunday holda, barcha komponentlarning ulanish parametrlari dastlab noma'lum va ish paytida o'zgarishi mumkin.

Boshqaruv tekisligi – markazlashgan boshqaruv va monitoringni ta’minlovchi yechimning bir qismi.

• DMVPN/PfR – boshqaruv tekisligining ixtisoslashtirilgan yechimi taqdim etilmaydi. Asosiy avtomatlashtirish va monitoring uchun Cisco Prime Infrastructure kabi mahsulotlardan foydalanish mumkin. Har bir router CLI buyruq satri orqali boshqarilishi mumkin. API orqali tashqi tizimlar bilan integratsiya ta'minlanmagan.
• SD WAN - barcha muntazam o'zaro ta'sirlar va monitoring markaziy ravishda vManage kontrollerning grafik interfeysi orqali amalga oshiriladi. Yechimning barcha xususiyatlari, istisnosiz, vManage orqali, shuningdek, to'liq hujjatlashtirilgan REST API kutubxonasi orqali konfiguratsiya uchun mavjud.

  vManage-dagi barcha SD-WAN tarmoq sozlamalari ikkita asosiy konstruktsiyaga tushadi - qurilma shablonlarini shakllantirish (Device Template) va tarmoq ishlashi va trafikni qayta ishlash mantiqini belgilaydigan siyosatni shakllantirish. Shu bilan birga, administrator tomonidan ishlab chiqarilgan siyosatni translyatsiya qiluvchi vManage avtomatik ravishda qaysi o'zgarishlarni va qaysi alohida qurilmalar/kontrollerlarni amalga oshirish kerakligini tanlaydi, bu esa yechimning samaradorligi va miqyosini sezilarli darajada oshiradi.

  vManage interfeysi orqali nafaqat Cisco SD-WAN yechimining konfiguratsiyasi, balki yechimning barcha komponentlari holatini, alohida tunnellar ko‘rsatkichlarining joriy holati va turli ilovalardan foydalanish statistikasigacha to‘liq monitoring qilish mumkin. DPI tahliliga asoslangan.

  O'zaro ta'sirning markazlashtirilganligiga qaramay, barcha komponentlar (kontrollerlar va marshrutizatorlar) to'liq ishlaydigan CLI buyruq qatoriga ega, bu amalga oshirish bosqichida yoki mahalliy diagnostika uchun favqulodda vaziyatlarda zarur. Oddiy rejimda (agar komponentlar o'rtasida signalizatsiya kanali mavjud bo'lsa) marshrutizatorlarda buyruq qatori faqat diagnostika uchun mavjud va mahalliy o'zgarishlarni amalga oshirish uchun mavjud emas, bu mahalliy xavfsizlikni kafolatlaydi va bunday tarmoqdagi o'zgarishlarning yagona manbai vManage hisoblanadi.

Integratsiyalashgan xavfsizlik – bu yerda nafaqat ochiq kanallar orqali uzatilganda foydalanuvchi ma’lumotlarini himoya qilish, balki tanlangan texnologiya asosida WAN tarmog‘ining umumiy xavfsizligi haqida ham gapirish kerak.

• в DMVPN/PfR Foydalanuvchi ma'lumotlarini va signalizatsiya protokollarini shifrlash mumkin. Muayyan marshrutizator modellaridan foydalanganda, qo'shimcha ravishda trafikni tekshirish, IPS/IDS bilan xavfsizlik devori funksiyalari mavjud. VRF yordamida filial tarmoqlarini segmentlash mumkin. Boshqarish protokollarini (bir faktorli) autentifikatsiya qilish mumkin.

  Bunday holda, masofaviy router sukut bo'yicha tarmoqning ishonchli elementi hisoblanadi - ya'ni. alohida qurilmalarning jismoniy buzilishi holatlari va ularga ruxsatsiz kirish ehtimoli ko'zda tutilmaydi yoki hisobga olinmaydi; geografik taqsimlangan tarmoq holatida yechim komponentlarining ikki faktorli autentifikatsiyasi mavjud emas. sezilarli qo'shimcha xavf tug'dirishi mumkin.

• в SD WAN DMVPN-ga o'xshab, foydalanuvchi ma'lumotlarini shifrlash imkoniyati taqdim etiladi, lekin sezilarli darajada kengaytirilgan tarmoq xavfsizligi va L3/VRF segmentatsiyasi funksiyalari (xavfsizlik devori, IPS/IDS, URL filtrlash, DNS filtrlash, AMP/TG, SASE, TLS/SSL proksi-server, va boshqalar) d.). Shu bilan birga, shifrlash kalitlarini almashish vSmart kontrollerlari (to'g'ridan-to'g'ri emas) orqali, xavfsizlik sertifikatlari asosida DTLS/TLS shifrlash bilan himoyalangan oldindan o'rnatilgan signalizatsiya kanallari orqali samaraliroq amalga oshiriladi. Bu, o'z navbatida, bunday almashinuvlarning xavfsizligini kafolatlaydi va bir xil tarmoqdagi o'n minglab qurilmalar uchun yechimning yanada yaxshi miqyoslanishini ta'minlaydi.

  Barcha signalizatsiya ulanishlari (controller-to-controller, controller-router) ham DTLS/TLS asosida himoyalangan. Routerlar ishlab chiqarish vaqtida almashtirish/kengaytirish imkoniyati bilan xavfsizlik sertifikatlari bilan jihozlangan. Ikki faktorli autentifikatsiya router/kontroller SD-WAN tarmog'ida ishlashi uchun ikkita shartni majburiy va bir vaqtda bajarish orqali amalga oshiriladi:

  • Yaroqli xavfsizlik sertifikati
  • Ruxsat etilgan qurilmalarning "oq" ro'yxatiga har bir komponentning ma'muri tomonidan aniq va ongli ravishda kiritilishi.

SD-WAN va DMVPN/PfR o'rtasidagi funktsional farqlar

Funktsional farqlarni muhokama qilishga o'tadigan bo'lsak, shuni ta'kidlash kerakki, ularning aksariyati arxitekturaning davomi - hech kimga sir emaski, yechim arxitekturasini shakllantirishda ishlab chiquvchilar oxir-oqibat olishni istagan imkoniyatlardan boshlashadi. Keling, ikkita texnologiya o'rtasidagi eng muhim farqlarni ko'rib chiqaylik.

AppQ (Ilova sifati) - biznes ilovalari trafigini uzatish sifatini ta'minlash funktsiyalari

Ko'rib chiqilayotgan texnologiyalarning asosiy funktsiyalari taqsimlangan tarmoqda biznes uchun muhim ilovalardan foydalanishda foydalanuvchi tajribasini iloji boricha yaxshilashga qaratilgan. Bu, ayniqsa, infratuzilmaning bir qismi IT tomonidan boshqarilmaydigan yoki hatto muvaffaqiyatli ma'lumotlarni uzatishni kafolatlamaydigan sharoitlarda juda muhimdir.

DMVPN o'zi bunday mexanizmlarni ta'minlamaydi. Klassik DMVPN tarmog'ida amalga oshirilishi mumkin bo'lgan eng yaxshi narsa chiquvchi trafikni ilovalar bo'yicha tasniflash va WAN kanaliga uzatilganda birinchi o'ringa qo'yishdir. DMVPN tunnelini tanlash bu holda faqat uning mavjudligi va marshrutlash protokollarining ishlashi natijasi bilan belgilanadi. Shu bilan birga, tarmoq ilovalari uchun muhim bo'lgan asosiy ko'rsatkichlar - kechikish, kechikish o'zgarishi (jitter) va yo'qotishlar (% ). Shu nuqtai nazardan, AppQ muammolarini hal qilish nuqtai nazaridan klassik DMVPNni SD-WAN bilan to'g'ridan-to'g'ri taqqoslash barcha ma'noni yo'qotadi - DMVPN bu muammoni hal qila olmaydi. Ushbu kontekstga Cisco Performance Routing (PfR) texnologiyasini qo'shsangiz, vaziyat o'zgaradi va Cisco SD-WAN bilan taqqoslash yanada mazmunli bo'ladi.

Farqlarni muhokama qilishdan oldin, texnologiyalar qanday o'xshashligini qisqacha ko'rib chiqamiz. Shunday qilib, ikkala texnologiya:

• har bir o'rnatilgan tunnel holatini ma'lum ko'rsatkichlar bo'yicha dinamik baholash imkonini beruvchi mexanizmga ega - minimal, kechikish, kechikish o'zgarishi va paket yo'qolishi (%)
• asosiy tunnel ko'rsatkichlari holatini o'lchash natijalarini hisobga olgan holda, harakatni boshqarish qoidalarini (siyosatlarini) shakllantirish, tarqatish va qo'llash uchun muayyan vositalar to'plamidan foydalanish.
• OSI modelining L3-L4 (DSCP) darajalarida yoki yo'riqnoma ichiga o'rnatilgan DPI mexanizmlari asosida L7 dastur imzolari bo'yicha dastur trafigini tasniflash
• Muhim ilovalar uchun ular o'lchovlarning maqbul chegara qiymatlarini, sukut bo'yicha trafikni uzatish qoidalarini va chegara qiymatlari oshib ketganda trafikni qayta yo'naltirish qoidalarini aniqlashga imkon beradi.
• GRE/IPSec-da trafikni inkapsulyatsiya qilishda ular ichki DSCP belgilarini tashqi GRE/IPSEC paket sarlavhasiga o'tkazish uchun allaqachon o'rnatilgan sanoat mexanizmidan foydalanadilar, bu tashkilot va aloqa operatorining QoS siyosatini sinxronlashtirishga imkon beradi (agar tegishli SLA mavjud bo'lsa). .

SD-WAN va DMVPN/PfR uchdan-end ko'rsatkichlari qanday farq qiladi?

DMVPN/PfR

• Ham faol, ham passiv dasturiy ta'minot sensorlari (problar) tunnel sog'lig'ining standart ko'rsatkichlarini baholash uchun ishlatiladi. Faollar foydalanuvchi trafigiga asoslanadi, passivlari esa bunday trafikni taqlid qiladi (u yo'q bo'lganda).
• Taymerlarni aniq sozlash va buzilishlarni aniqlash shartlari mavjud emas - algoritm o'rnatilgan.
• Bundan tashqari, chiquvchi yo'nalishda foydalanilgan tarmoqli kengligini o'lchash mumkin. Bu DMVPN/PfR ga qo'shimcha trafikni boshqarish moslashuvchanligini qo'shadi.
• Shu bilan birga, ba'zi PfR mexanizmlari, ko'rsatkichlar oshib ketganda, trafikni qabul qiluvchidan manba tomon kelishi kerak bo'lgan maxsus TCA (threshold Crossing Alert) xabarlari ko'rinishidagi teskari aloqa signaliga tayanadi, bu esa o'z navbatida trafikning holatini taxmin qiladi. o'lchangan kanallar hech bo'lmaganda bunday TCA xabarlarini uzatish uchun etarli bo'lishi kerak. Bu ko'p hollarda muammo emas, lekin aniq kafolatlanmaydi.

SD WAN

• Standart tunnel holati ko'rsatkichlarini oxirigacha baholash uchun BFD protokoli aks-sado rejimida qo'llaniladi. Bunday holda, TCA yoki shunga o'xshash xabarlar ko'rinishida maxsus qayta aloqa talab qilinmaydi - muvaffaqiyatsizlik domenlarining izolyatsiyasi saqlanadi. Shuningdek, u tunnel holatini baholash uchun foydalanuvchi trafigining mavjudligini talab qilmaydi.
• Aloqa kanalining degradatsiyasiga algoritmning javob tezligi va sezgirligini bir necha soniyadan daqiqagacha tartibga solish uchun BFD taymerlarini nozik sozlash mumkin.

  

• Yozish vaqtida har bir tunnelda faqat bitta BFD seansi mavjud. Bu tunnel holatini tahlil qilishda potentsial darajada kamroq aniqlikni keltirib chiqaradi. Haqiqatda, agar siz kelishilgan QoS SLA bilan MPLS L2/L3 VPN-ga asoslangan WAN ulanishidan foydalansangiz, bu cheklovga aylanishi mumkin - agar BFD trafigining DSCP belgisi (IPSec/GRE-da inkapsulyatsiyadan keyin) yuqori ustuvorlik navbatiga mos kelsa. aloqa operatori tarmog'i, keyin bu past ustuvor trafik uchun buzilishlarni aniqlashning aniqligi va tezligiga ta'sir qilishi mumkin. Shu bilan birga, bunday holatlar xavfini kamaytirish uchun standart BFD yorlig'ini o'zgartirish mumkin. Cisco SD-WAN dasturiy ta'minotining kelajakdagi versiyalarida yanada nozik sozlangan BFD sozlamalari, shuningdek, individual DSCP qiymatlari (turli ilovalar uchun) bilan bir xil tunnel ichida bir nechta BFD seanslarini ishga tushirish imkoniyati kutilmoqda.
• BFD qo'shimcha ravishda ma'lum bir tunnel orqali parchalanishsiz uzatilishi mumkin bo'lgan maksimal paket hajmini baholashga imkon beradi. Bu SD-WAN-ga MTU va TCP MSS Adjust kabi parametrlarni har bir havoladagi mavjud tarmoqli kengligidan maksimal darajada foydalanish uchun dinamik ravishda sozlash imkonini beradi.
• SD-WAN-da, nafaqat L3 DSCP maydonlari asosida, balki filial tarmog'ida ixtisoslashgan qurilmalar tomonidan avtomatik ravishda yaratilishi mumkin bo'lgan L2 CoS qiymatlariga asoslangan holda aloqa operatorlaridan QoS sinxronizatsiyasi opsiyasi ham mavjud - masalan, IP telefonlar

AppQ siyosatlarini aniqlash va qo'llash imkoniyatlari, usullari qanday farq qiladi?

DMVPN/PfR siyosatlari:

• CLI buyruq qatori yoki CLI konfiguratsiya shablonlari orqali markaziy filial marshrutizator(lar)ida belgilangan. CLI shablonlarini yaratish siyosat sintaksisini tayyorlash va bilishni talab qiladi.

  

• Global miqyosda aniqlangan individual konfiguratsiya/alohida tarmoq segmentlari talablariga o'zgartirish imkoniyatisiz.
• Interaktiv siyosat yaratish grafik interfeysda ta'minlanmagan.
• Tez almashtirish uchun o'zgarishlarni kuzatish, meros olish va siyosatlarning bir nechta versiyasini yaratish ta'minlanmagan.
• Masofaviy filiallarning marshrutizatorlariga avtomatik ravishda taqsimlanadi. Bunday holda, foydalanuvchi ma'lumotlarini uzatish uchun bir xil aloqa kanallari qo'llaniladi. Agar markaziy va uzoq filial o'rtasida aloqa kanali bo'lmasa, siyosatni taqsimlash/o'zgartirish mumkin emas.
• Ular har bir marshrutizatorda qo'llaniladi va agar kerak bo'lsa, yuqori ustuvorlikka ega bo'lgan standart marshrutlash protokollarining natijasini o'zgartiradi.
• Barcha filial WAN havolalari sezilarli trafik yo'qotilishiga duchor bo'lgan holatlar uchun, kompensatsiya mexanizmlari mavjud emas.

SD-WAN siyosatlari:

• vManage GUI-da interaktiv shablon ustasi orqali aniqlangan.
• Haqiqiy vaqtda bir nechta siyosatlarni yaratish, nusxalash, meros qilib olish, siyosatlar o'rtasida almashishni qo'llab-quvvatlaydi.
• Turli tarmoq segmentlari (filiallar) uchun individual siyosat sozlamalarini qo'llab-quvvatlaydi
• Ular boshqaruvchi va yo'riqnoma va/yoki vSmart o'rtasida mavjud bo'lgan har qanday mavjud signal kanali yordamida taqsimlanadi - marshrutizatorlar orasidagi ma'lumotlar tekisligiga bevosita bog'liq emas. Bu, albatta, yo'riqnoma o'zi va kontrollerlar o'rtasida IP ulanishini talab qiladi.

  

• Filialning barcha mavjud bo'limlari muhim ilovalar uchun maqbul chegaralardan oshib ketadigan muhim ma'lumotlar yo'qotilishiga duchor bo'lgan hollarda, uzatish ishonchliligini oshiradigan qo'shimcha mexanizmlardan foydalanish mumkin:
  • FEC (O'tkazish xatosini tuzatish) – maxsus ortiqcha kodlash algoritmidan foydalanadi. Yo'qotishlarning sezilarli foiziga ega kanallar orqali muhim trafikni uzatishda FEC avtomatik ravishda faollashtirilishi mumkin va kerak bo'lganda ma'lumotlarning yo'qolgan qismini tiklashga imkon beradi. Bu ishlatilgan uzatish tarmoqli kengligini biroz oshiradi, lekin ishonchliligini sezilarli darajada oshiradi.

    

  • Ma'lumotlar oqimlarining takrorlanishi - FECga qo'shimcha ravishda, siyosat FEC tomonidan qoplana olmaydigan yo'qotishlarning yanada jiddiy darajasida tanlangan ilovalar trafigini avtomatik ravishda takrorlashni ta'minlashi mumkin. Bunday holda, tanlangan ma'lumotlar barcha tunnellar orqali qabul qiluvchi filialga uzatiladi, keyinchalik takroriy yo'q qilinadi (paketlarning qo'shimcha nusxalarini tashlab yuborish). Mexanizm kanaldan foydalanishni sezilarli darajada oshiradi, lekin ayni paytda uzatish ishonchliligini sezilarli darajada oshiradi.

Cisco SD-WAN imkoniyatlari, DMVPN/PfR-da to'g'ridan-to'g'ri analoglarsiz

Cisco SD-WAN yechimining arxitekturasi ba'zi hollarda DMVPN/PfR doirasida amalga oshirish juda qiyin bo'lgan yoki zarur mehnat xarajatlari tufayli amaliy bo'lmagan yoki umuman imkonsiz bo'lgan imkoniyatlarni olish imkonini beradi. Keling, ulardan eng qiziqarlilarini ko'rib chiqaylik:

Yo'l harakati muhandisligi (TE)

TE trafikni marshrutlash protokollari tomonidan yaratilgan standart yo'ldan ajratishga imkon beruvchi mexanizmlarni o'z ichiga oladi. TE ko'pincha tarmoq xizmatlarining yuqori darajada mavjudligini ta'minlash uchun ishlatiladi, bunda muhim trafikni muqobil (ajratilgan) uzatish yo'liga tez va/yoki proaktiv ravishda o'tkazish, xizmat sifatini yaxshilash yoki ishlamay qolganda tiklanish tezligini ta'minlash uchun foydalaniladi. asosiy yo'lda.

TEni amalga oshirishdagi qiyinchilik muqobil yo'lni oldindan hisoblash va zaxiralash (tekshirish) zarurati bilan bog'liq. Aloqa operatorlarining MPLS tarmoqlarida bu muammo MPLS Traffic-Engineering kabi texnologiyalar yordamida IGP protokollari va RSVP protokoli kengaytmalari yordamida hal qilinadi. Shuningdek, yaqinda markazlashtirilgan konfiguratsiya va orkestratsiya uchun optimallashtirilgan Segment Routing texnologiyasi tobora ommalashib bormoqda. Klassik WAN tarmoqlarida bu texnologiyalar odatda taqdim etilmaydi yoki hop-by-hop mexanizmlaridan foydalanishga qisqartiriladi, masalan Siyosatga asoslangan marshrutlash (PBR), ular trafikni tarmoqqa ajratishga qodir, lekin buni har bir routerda alohida-alohida amalga oshiradi - qabul qilmasdan. oldingi yoki keyingi bosqichlarda tarmoq yoki PBR natijasining umumiy holatini hisobga olish. Ushbu TE opsiyalaridan foydalanish natijasi umidsizlikka olib keladi - konfiguratsiya va ishlashning murakkabligi tufayli MPLS TE, qoida tariqasida, faqat tarmoqning eng muhim qismida (yadro) ishlatiladi va PBR alohida routerlarda qo'llaniladi. butun tarmoq uchun yagona PBR siyosatini yaratish qobiliyati. Shubhasiz, bu DMVPN-ga asoslangan tarmoqlarga ham tegishli.

SD-WAN bu borada ancha oqlangan yechimni taklif etadi, bu nafaqat sozlash oson, balki ancha yaxshi miqyosda ham. Bu foydalanilgan boshqaruv tekisligi va siyosat tekisligi arxitekturalarining natijasidir. SD-WAN-da siyosat tekisligini amalga oshirish sizga TE siyosatini markazlashtirilgan tarzda aniqlash imkonini beradi - qaysi trafikni qiziqtiradi? qaysi VPNlar uchun? Qaysi tugunlar/tunnellar orqali muqobil marshrutni shakllantirish zarur yoki aksincha, taqiqlangan? O'z navbatida, vSmart kontrollerlari asosida boshqaruv tekisligi boshqaruvini markazlashtirish alohida qurilmalar sozlamalariga murojaat qilmasdan marshrutlash natijalarini o'zgartirish imkonini beradi - marshrutizatorlar allaqachon faqat vManage interfeysida yaratilgan va foydalanish uchun o'tkazilgan mantiq natijasini ko'rishadi. vSmart.

Xizmat zanjiri

Klassik marshrutlashda xizmat ko'rsatish zanjirlarini shakllantirish allaqachon tasvirlangan "Traffic-engineering" mexanizmidan ko'ra ko'proq mehnat talab qiladigan vazifadir. Darhaqiqat, bu holda, nafaqat ma'lum bir tarmoq ilovasi uchun maxsus marshrut yaratish, balki qayta ishlash uchun SD-WAN tarmog'ining ma'lum (yoki barcha) tugunlarida tarmoqdan trafikni olib tashlash imkoniyatini ta'minlash kerak. maxsus dastur yoki xizmat (xavfsizlik devori, balanslash, keshlash, trafikni tekshirish va boshqalar). Shu bilan birga, qora tuynuklar paydo bo'lishining oldini olish uchun ushbu tashqi xizmatlarning holatini nazorat qilish imkoniyatiga ega bo'lish kerak, shuningdek, bir xil turdagi tashqi xizmatlarni turli xil geolokatsiyalarda joylashtirish imkonini beradigan mexanizmlar kerak. tarmoqning avtomatik ravishda ma'lum bir filialning trafigini qayta ishlash uchun eng maqbul xizmat tugunini tanlash qobiliyati bilan. Cisco SD-WAN misolida, maqsadli xizmatlar zanjirining barcha jihatlarini bir butunga "yopishtiruvchi" tegishli markazlashtirilgan siyosatni yaratish orqali erishish juda oson va faqat ma'lumotlar tekisligi va boshqaruv tekisligi mantiqini avtomatik ravishda o'zgartiradi. va kerak bo'lganda.

Ixtisoslashgan (lekin SD-WAN tarmog'ining o'zi bilan bog'liq bo'lmagan) uskunalarda ma'lum bir ketma-ketlikda tanlangan turdagi ilovalarning trafigini geo-tarqatilgan qayta ishlashni yaratish qobiliyati, ehtimol, Cisco SD-WAN-ning klassikaga nisbatan afzalliklarining eng yorqin namoyishidir. texnologiyalar va hatto ba'zi muqobil SD echimlari - boshqa ishlab chiqaruvchilarning WAN.

Nima oxir-oqibat?

Shubhasiz, DMVPN (ishlash marshruti bilan yoki bo'lmasdan) va Cisco SD-WAN oxir-oqibat juda o'xshash muammolarni hal qilish tashkilotning taqsimlangan WAN tarmog'iga nisbatan. Shu bilan birga, Cisco SD-WAN texnologiyasidagi sezilarli arxitektura va funktsional farqlar ushbu muammolarni hal qilish jarayoniga olib keladi. boshqa sifat darajasiga. Xulosa qilib aytganda, SD-WAN va DMVPN/PfR texnologiyalari o'rtasidagi quyidagi muhim farqlarni qayd etishimiz mumkin:

• DMVPN/PfR odatda VPN tarmoqlarini qurish uchun vaqt sinovidan o'tgan texnologiyalardan foydalanadi va ma'lumotlar tekisligi nuqtai nazaridan zamonaviyroq SD-WAN texnologiyasiga o'xshaydi, ammo majburiy statik konfiguratsiya shaklida bir qator cheklovlar mavjud. marshrutizatorlar va topologiyalarni tanlash Hub-n-Spoke bilan cheklangan. Boshqa tomondan, DMVPN/PfR SD-WAN-da hali mavjud bo'lmagan ba'zi funksiyalarga ega (biz har bir dastur uchun BFD haqida gapiramiz).
• Boshqarish tekisligida texnologiyalar tubdan farq qiladi. Signal uzatish protokollarini markazlashtirilgan qayta ishlashni hisobga olgan holda, SD-WAN, xususan, ishlamay qolgan domenlarni sezilarli darajada toraytirish va foydalanuvchi trafigini uzatish jarayonini signalizatsiya o'zaro ta'siridan "ajratish" imkonini beradi - kontrollerlarning vaqtincha mavjud emasligi foydalanuvchi trafigini uzatish qobiliyatiga ta'sir qilmaydi. . Shu bilan birga, biron bir filialning (shu jumladan markaziy) vaqtincha ishlamasligi boshqa filiallarning bir-biri va boshqaruvchilar bilan o'zaro ta'sir qilish qobiliyatiga hech qanday ta'sir ko'rsatmaydi.
• SD-WAN holatida trafikni boshqarish siyosatini shakllantirish va qo'llash arxitekturasi ham DMVPN/PfR-dan ustundir - geo-rezervatsiya ancha yaxshi amalga oshirilgan, Hub bilan aloqa yo'q, jarima solish uchun ko'proq imkoniyatlar mavjud. -sozlash siyosati, amalga oshirilgan trafikni boshqarish stsenariylari ro'yxati ham ancha katta.
• Eritmani orkestrlash jarayoni ham sezilarli darajada farq qiladi. DMVPN oldindan ma'lum bo'lgan parametrlarning mavjudligini taxmin qiladi, ular qandaydir tarzda konfiguratsiyada aks ettirilishi kerak, bu yechimning moslashuvchanligini va dinamik o'zgarishlar imkoniyatini biroz cheklaydi. O'z navbatida, SD-WAN ulanishning dastlabki vaqtida router o'z kontrollerlari haqida "hech narsani bilmaydi", lekin "kimdan so'rashingiz mumkinligini" biladi - bu nafaqat avtomatik ravishda aloqa o'rnatish uchun etarli bo'lgan paradigmaga asoslanadi. kontrollerlar, shuningdek, avtomatik ravishda to'liq bog'langan ma'lumotlar tekisligi topologiyasini shakllantirish uchun, keyin esa siyosatlar yordamida moslashuvchan tarzda sozlanishi/o'zgartirilishi mumkin.
• Markazlashtirilgan boshqaruv, avtomatlashtirish va monitoring nuqtai nazaridan SD-WAN klassik texnologiyalardan kelib chiqqan va CLI buyruq qatoriga va shablonga asoslangan NMS tizimlaridan foydalanishga ko‘proq tayanadigan DMVPN/PfR imkoniyatlaridan oshib ketishi kutilmoqda.
• SD-WAN-da, DMVPN bilan solishtirganda, xavfsizlik talablari boshqa sifat darajasiga yetdi. Asosiy tamoyillar nol ishonch, miqyoslilik va ikki faktorli autentifikatsiya.

Ushbu oddiy xulosalar DMVPN/PfR asosida tarmoq yaratish bugungi kunda barcha ahamiyatini yo'qotgan degan noto'g'ri taassurot qoldirishi mumkin. Bu, albatta, mutlaqo to'g'ri emas. Misol uchun, tarmoq juda ko'p eskirgan uskunalardan foydalansa va uni almashtirishning iloji bo'lmasa, DMVPN sizga "eski" va "yangi" qurilmalarni bitta geo-tarqatilgan tarmoqqa birlashtirishga imkon beradi va tavsiflangan ko'plab afzalliklarga ega. yuqorida.

Boshqa tomondan, shuni esda tutish kerakki, IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) asosidagi barcha joriy Cisco korporativ marshrutizatorlari bugungi kunda har qanday ish rejimini qo'llab-quvvatlaydi - klassik marshrutlash, ham DMVPN va SD-WAN - tanlov hozirgi ehtiyojlar va istalgan vaqtda xuddi shu uskunadan foydalangan holda ilg'or texnologiyalarga o'tishni boshlashingiz mumkinligini tushunish bilan belgilanadi.

Manba: www.habr.com