Liệu Cisco SD-WAN có cắt đứt nhánh mà DMVPN nằm trên đó không?

Kể từ tháng 2017 năm XNUMX, khi Cisco mua lại Viptela, công nghệ chính được cung cấp để tổ chức mạng doanh nghiệp phân tán đã trở thành Cisco SD-WAN. Trong 3 năm qua, công nghệ SD-WAN đã trải qua nhiều thay đổi cả về chất lẫn lượng. Do đó, chức năng đã mở rộng đáng kể và hỗ trợ đã xuất hiện trên các bộ định tuyến cổ điển của dòng này Cisco ISR 1000, ISR 4000, ASR 1000 và CSR ảo 1000v. Đồng thời, nhiều khách hàng và đối tác của Cisco tiếp tục thắc mắc: sự khác biệt giữa Cisco SD-WAN và các phương pháp tiếp cận quen thuộc dựa trên các công nghệ như Cisco DMVPN и Định tuyến hiệu suất của Cisco và những khác biệt này quan trọng như thế nào?

Ở đây chúng ta nên đặt trước ngay rằng trước khi SD-WAN xuất hiện trong danh mục của Cisco, DMVPN cùng với PfR đã hình thành một phần quan trọng trong kiến ​​trúc Cisco IWAN (WAN thông minh), do đó là tiền thân của công nghệ SD-WAN chính thức. Bất chấp sự giống nhau chung của cả nhiệm vụ đang được giải quyết và phương pháp giải quyết chúng, IWAN chưa bao giờ nhận được mức độ tự động hóa, tính linh hoạt và khả năng mở rộng cần thiết cho SD-WAN và theo thời gian, sự phát triển của IWAN đã giảm đáng kể. Đồng thời, các công nghệ tạo nên IWAN vẫn chưa biến mất và nhiều khách hàng vẫn tiếp tục sử dụng thành công, kể cả trên các thiết bị hiện đại. Kết quả là, một tình huống thú vị đã nảy sinh - thiết bị tương tự của Cisco cho phép bạn chọn công nghệ WAN phù hợp nhất (cổ điển, DMVPN+PfR hoặc SD-WAN) phù hợp với yêu cầu và mong đợi của khách hàng.

Bài viết không có ý định phân tích chi tiết tất cả các tính năng của công nghệ Cisco SD-WAN và DMVPN (có hoặc không có Định tuyến hiệu suất) - có một lượng lớn tài liệu và tài liệu có sẵn cho việc này. Nhiệm vụ chính là cố gắng đánh giá những khác biệt chính giữa các công nghệ này. Nhưng trước khi chuyển sang thảo luận về những khác biệt này, chúng ta hãy nhớ lại ngắn gọn về bản thân các công nghệ.

Cisco DMVPN là gì và tại sao cần thiết?

Cisco DMVPN giải quyết vấn đề kết nối động (= có thể mở rộng) của mạng chi nhánh từ xa với mạng văn phòng trung tâm của doanh nghiệp khi sử dụng các loại kênh liên lạc tùy ý, bao gồm cả Internet (= với mã hóa kênh liên lạc). Về mặt kỹ thuật, điều này được thực hiện bằng cách tạo một mạng lớp phủ ảo hóa của lớp L3 VPN ở chế độ điểm-đa điểm với cấu trúc liên kết logic kiểu “Star” (Hub-n-Spoke). Để đạt được điều này, DMVPN sử dụng kết hợp các công nghệ sau:

• định tuyến IP
• Đường hầm GRE đa điểm (mGRE)
• Giao thức phân giải chặng tiếp theo (NHRP)
• Hồ sơ tiền điện tử IPSec

Ưu điểm chính của Cisco DMVPN so với định tuyến cổ điển sử dụng kênh MPLS VPN là gì?

• Để tạo mạng liên chi nhánh, có thể sử dụng bất kỳ kênh liên lạc nào - bất kỳ kênh nào có thể cung cấp kết nối IP giữa các chi nhánh đều phù hợp, đồng thời lưu lượng sẽ được mã hóa (nếu cần) và cân bằng (nếu có thể)
• Một cấu trúc liên kết được kết nối đầy đủ giữa các nhánh được hình thành tự động. Đồng thời có các đường hầm tĩnh giữa các nhánh trung tâm và các nhánh từ xa và các đường hầm động theo yêu cầu giữa các nhánh từ xa (nếu có lưu lượng)
• Các bộ định tuyến của nhánh trung tâm và nhánh từ xa có cùng cấu hình cho đến địa chỉ IP của các giao diện. Bằng cách sử dụng mGRE, không cần phải cấu hình riêng lẻ hàng chục, hàng trăm hoặc thậm chí hàng nghìn đường hầm. Kết quả là khả năng mở rộng tốt với thiết kế phù hợp.

Định tuyến hiệu suất của Cisco là gì và tại sao cần thiết?

Khi sử dụng DMVPN trên mạng liên nhánh, một câu hỏi cực kỳ quan trọng vẫn chưa được giải quyết - làm thế nào để đánh giá động trạng thái của từng đường hầm DMVPN để tuân thủ các yêu cầu về lưu lượng truy cập quan trọng đối với tổ chức của chúng tôi và một lần nữa, dựa trên đánh giá đó, tự động thực hiện quyết định định tuyến lại? Thực tế là DMVPN trong phần này khác rất ít so với định tuyến cổ điển - điều tốt nhất có thể làm là định cấu hình các cơ chế QoS cho phép bạn ưu tiên lưu lượng truy cập theo hướng đi nhưng không có khả năng tính đến trạng thái của toàn bộ con đường lúc này hay lúc khác.

Và phải làm gì nếu kênh bị suy giảm một phần chứ không phải hoàn toàn - làm thế nào để phát hiện và đánh giá điều này? Bản thân DMVPN không thể làm được điều này. Xét rằng các kênh kết nối các chi nhánh có thể đi qua các nhà khai thác viễn thông hoàn toàn khác nhau, sử dụng các công nghệ hoàn toàn khác nhau, nhiệm vụ này trở nên cực kỳ không hề nhỏ. Và đây chính là lúc công nghệ Định tuyến Hiệu suất của Cisco ra tay giải cứu, tính đến thời điểm đó công nghệ này đã trải qua nhiều giai đoạn phát triển.

Nhiệm vụ của Định tuyến hiệu suất của Cisco (sau đây gọi là PfR) là đo trạng thái của đường dẫn (đường hầm) lưu lượng truy cập dựa trên các số liệu chính quan trọng đối với các ứng dụng mạng - độ trễ, sự thay đổi độ trễ (jitter) và mất gói (phần trăm). Ngoài ra, băng thông được sử dụng có thể được đo. Các phép đo này diễn ra càng gần với thời gian thực càng tốt và hợp lý, đồng thời kết quả của các phép đo này cho phép bộ định tuyến sử dụng PfR tự động đưa ra quyết định về nhu cầu thay đổi định tuyến của loại lưu lượng này hoặc loại lưu lượng truy cập kia.

Do đó, nhiệm vụ của sự kết hợp DMVPN/PfR có thể được mô tả ngắn gọn như sau:

• Cho phép khách hàng sử dụng bất kỳ kênh liên lạc nào trên mạng WAN
• Đảm bảo chất lượng cao nhất có thể của các ứng dụng quan trọng trên các kênh này

Cisco SD-WAN là gì?

Cisco SD-WAN là công nghệ sử dụng phương pháp SDN để tạo và vận hành mạng WAN của tổ chức. Điều này đặc biệt có nghĩa là việc sử dụng cái gọi là bộ điều khiển (các phần tử phần mềm), cung cấp khả năng điều phối tập trung và cấu hình tự động của tất cả các thành phần giải pháp. Không giống như SDN chuẩn (kiểu Clean Slate), Cisco SD-WAN sử dụng một số loại bộ điều khiển, mỗi loại thực hiện vai trò riêng của mình - điều này được thực hiện có chủ ý để cung cấp khả năng mở rộng và dự phòng địa lý tốt hơn.

Trong trường hợp SD-WAN, nhiệm vụ sử dụng bất kỳ loại kênh nào và đảm bảo hoạt động của các ứng dụng kinh doanh vẫn như cũ, nhưng đồng thời các yêu cầu về tự động hóa, mở rộng quy mô, bảo mật và tính linh hoạt của mạng đó ngày càng mở rộng.

Thảo luận về sự khác biệt

Nếu bây giờ chúng ta bắt đầu phân tích sự khác biệt giữa các công nghệ này, chúng sẽ thuộc một trong các loại sau:

• Sự khác biệt về kiến ​​trúc - các chức năng được phân bổ như thế nào trên các thành phần khác nhau của giải pháp, sự tương tác của các thành phần đó được tổ chức như thế nào và điều này ảnh hưởng như thế nào đến khả năng và tính linh hoạt của công nghệ?
• Chức năng – công nghệ này có thể làm gì mà công nghệ khác không thể? Và nó có thực sự quan trọng đến vậy không?

Sự khác biệt về kiến ​​trúc là gì và chúng có quan trọng không?

Mỗi công nghệ này có nhiều “bộ phận chuyển động” khác nhau không chỉ về vai trò mà còn về cách chúng tương tác với nhau. Những nguyên tắc này được nghĩ ra tốt đến mức nào và cơ chế chung của giải pháp trực tiếp xác định khả năng mở rộng, khả năng chịu lỗi và hiệu quả tổng thể của nó.

Chúng ta hãy xem xét các khía cạnh khác nhau của kiến ​​trúc chi tiết hơn:

Mặt phẳng dữ liệu – một phần của giải pháp chịu trách nhiệm truyền lưu lượng người dùng giữa nguồn và người nhận. DMVPN và SD-WAN nhìn chung được triển khai giống hệt nhau trên chính các bộ định tuyến dựa trên đường hầm GRE đa điểm. Sự khác biệt là cách hình thành bộ tham số cần thiết cho các đường hầm này:

• в DMVPN/PfR là một hệ thống phân cấp hai cấp độc quyền của các nút có cấu trúc liên kết Star hoặc Hub-n-Spoke. Cần có cấu hình tĩnh của Hub và liên kết tĩnh của Spoke với Hub, cũng như tương tác thông qua giao thức NHRP để hình thành kết nối mặt phẳng dữ liệu. Do đó, làm cho các thay đổi đối với Hub trở nên khó khăn hơn đáng kểchẳng hạn như liên quan đến việc thay đổi/kết nối các kênh WAN mới hoặc thay đổi tham số của các kênh hiện có.
• в SD WAN là một mô hình hoàn toàn động để phát hiện các tham số của các đường hầm được cài đặt dựa trên mặt phẳng điều khiển (giao thức OMP) và mặt phẳng điều phối (tương tác với bộ điều khiển vBond để phát hiện bộ điều khiển và các tác vụ truyền tải NAT). Trong trường hợp này, bất kỳ cấu trúc liên kết xếp chồng nào cũng có thể được sử dụng, bao gồm cả cấu trúc phân cấp. Trong cấu trúc liên kết đường hầm lớp phủ đã thiết lập, có thể cấu hình linh hoạt cấu trúc liên kết logic trong từng VPN (VRF) riêng lẻ.

Mặt phẳng điều khiển – chức năng trao đổi, lọc và sửa đổi định tuyến và thông tin khác giữa các thành phần giải pháp.

• в DMVPN/PfR – chỉ được thực hiện giữa các bộ định tuyến Hub và Spoke. Không thể trao đổi trực tiếp thông tin định tuyến giữa các Nan hoa. Do đó, Nếu không có Hub hoạt động, mặt phẳng điều khiển và mặt phẳng dữ liệu không thể hoạt động, áp đặt các yêu cầu bổ sung về tính sẵn sàng cao trên Hub mà không phải lúc nào cũng có thể đáp ứng được.
• в SD WAN – mặt phẳng điều khiển không bao giờ được thực hiện trực tiếp giữa các bộ định tuyến – tương tác xảy ra trên cơ sở giao thức OMP và nhất thiết phải được thực hiện thông qua một loại bộ điều khiển vSmart chuyên dụng riêng biệt, cung cấp khả năng cân bằng, dự trữ địa lý và điều khiển tập trung của tải tín hiệu. Một tính năng khác của giao thức OMP là khả năng chống mất mát đáng kể và độc lập với tốc độ của kênh liên lạc với các bộ điều khiển (tất nhiên là trong giới hạn hợp lý). Điều này cũng thành công không kém khi cho phép bạn đặt bộ điều khiển SD-WAN trên các đám mây công cộng hoặc riêng tư có quyền truy cập qua Internet.

Mặt phẳng chính sách – một phần của giải pháp chịu trách nhiệm xác định, phân phối và áp dụng các chính sách quản lý lưu lượng trên mạng phân tán.

• DMVPN – bị hạn chế một cách hiệu quả bởi các chính sách chất lượng dịch vụ (QoS) được định cấu hình riêng trên mỗi bộ định tuyến thông qua các mẫu CLI hoặc Cơ sở hạ tầng Prime.
• DMVPN/PfR – Các chính sách PfR được hình thành trên bộ định tuyến Bộ điều khiển chính (MC) tập trung thông qua CLI và sau đó được phân phối tự động đến các MC nhánh. Trong trường hợp này, các đường dẫn truyền chính sách tương tự được sử dụng như đối với mặt phẳng dữ liệu. Không có khả năng tách biệt việc trao đổi chính sách, thông tin định tuyến và dữ liệu người dùng. Việc phổ biến chính sách yêu cầu sự hiện diện của kết nối IP giữa Hub và Spoke. Trong trường hợp này, chức năng MC có thể được kết hợp với bộ định tuyến DMVPN, nếu cần. Có thể (nhưng không bắt buộc) sử dụng các mẫu Cơ sở hạ tầng Prime để tạo chính sách tập trung. Một tính năng quan trọng là chính sách được hình thành trên toàn cầu trên toàn bộ mạng theo cùng một cách - Chính sách riêng cho từng phân khúc không được hỗ trợ.
• SD WAN – chính sách quản lý lưu lượng và chất lượng dịch vụ được xác định tập trung thông qua giao diện đồ họa Cisco vManager, cũng có thể truy cập qua Internet (nếu cần). Chúng được phân phối qua các kênh tín hiệu trực tiếp hoặc gián tiếp thông qua bộ điều khiển vSmart (tùy thuộc vào loại chính sách). Chúng không phụ thuộc vào kết nối mặt phẳng dữ liệu giữa các bộ định tuyến, bởi vì sử dụng tất cả các đường dẫn lưu lượng có sẵn giữa bộ điều khiển và bộ định tuyến.

  Đối với các phân đoạn mạng khác nhau, có thể linh hoạt xây dựng các chính sách khác nhau - phạm vi của chính sách được xác định bởi nhiều mã định danh duy nhất được cung cấp trong giải pháp - số nhánh, loại ứng dụng, hướng lưu lượng, v.v.

Mặt phẳng phối hợp – cơ chế cho phép các thành phần tự động phát hiện lẫn nhau, định cấu hình và điều phối các tương tác tiếp theo.

• в DMVPN/PfR Việc khám phá lẫn nhau giữa các bộ định tuyến dựa trên cấu hình tĩnh của thiết bị Hub và cấu hình tương ứng của thiết bị Spoke. Khám phá động chỉ xảy ra đối với Spoke, báo cáo các tham số kết nối Hub của nó cho thiết bị, do đó thiết bị này được định cấu hình trước với Spoke. Nếu không có kết nối IP giữa Spoke và ít nhất một Hub thì không thể hình thành mặt phẳng dữ liệu hoặc mặt phẳng điều khiển.
• в SD WAN Việc phối hợp các thành phần giải pháp diễn ra bằng bộ điều khiển vBond, trong đó mỗi thành phần (bộ định tuyến và bộ điều khiển vQuản lý/vSmart) trước tiên phải thiết lập kết nối IP.

  Ban đầu, các thành phần không biết về các tham số kết nối của nhau - để làm được điều này, chúng cần bộ điều phối trung gian vBond. Nguyên tắc chung như sau - mỗi thành phần trong giai đoạn đầu chỉ học (tự động hoặc tĩnh) về các tham số kết nối với vBond, sau đó vBond thông báo cho bộ định tuyến về bộ điều khiển vManager và vSmart (đã được phát hiện trước đó), điều này giúp có thể tự động thiết lập tất cả các kết nối báo hiệu cần thiết.

  Bước tiếp theo là để bộ định tuyến mới tìm hiểu về các bộ định tuyến khác trên mạng thông qua giao tiếp OMP với bộ điều khiển vSmart. Do đó, bộ định tuyến, ban đầu không cần biết gì về các tham số mạng, vẫn có thể tự động phát hiện và kết nối hoàn toàn với bộ điều khiển, sau đó cũng tự động phát hiện và hình thành kết nối với các bộ định tuyến khác. Trong trường hợp này, ban đầu các tham số kết nối của tất cả các thành phần đều không xác định được và có thể thay đổi trong quá trình hoạt động.

Mặt phẳng quản lý – một phần của giải pháp cung cấp khả năng quản lý và giám sát tập trung.

• DMVPN/PfR – không có giải pháp mặt phẳng quản lý chuyên biệt nào được cung cấp. Để tự động hóa và giám sát cơ bản, có thể sử dụng các sản phẩm như Cơ sở hạ tầng Cisco Prime. Mỗi bộ định tuyến có khả năng được điều khiển thông qua dòng lệnh CLI. Tích hợp với các hệ thống bên ngoài thông qua API không được cung cấp.
• SD WAN – tất cả các tương tác và giám sát thường xuyên được thực hiện tập trung thông qua giao diện đồ họa của bộ điều khiển vManager. Tất cả các tính năng của giải pháp, không có ngoại lệ, đều có sẵn để định cấu hình thông qua vManager, cũng như thông qua thư viện API REST được ghi chép đầy đủ.

  Tất cả cài đặt mạng SD-WAN trong vManager đều bao gồm hai cấu trúc chính - hình thành các mẫu thiết bị (Mẫu thiết bị) và hình thành chính sách xác định logic vận hành mạng và xử lý lưu lượng. Đồng thời, vQuản lý, truyền bá chính sách do quản trị viên tạo ra, tự động chọn những thay đổi nào và trên những thiết bị/bộ điều khiển riêng lẻ nào cần được thực hiện, điều này làm tăng đáng kể hiệu quả và khả năng mở rộng của giải pháp.

  Thông qua giao diện vManager, không chỉ có sẵn cấu hình của giải pháp Cisco SD-WAN mà còn có khả năng giám sát đầy đủ trạng thái của tất cả các thành phần của giải pháp, cập nhật trạng thái số liệu hiện tại cho từng đường hầm riêng lẻ và số liệu thống kê về việc sử dụng các ứng dụng khác nhau dựa trên phân tích của PPI.

  Mặc dù tập trung tương tác, tất cả các thành phần (bộ điều khiển và bộ định tuyến) cũng có dòng lệnh CLI đầy đủ chức năng, cần thiết ở giai đoạn triển khai hoặc trong trường hợp khẩn cấp để chẩn đoán cục bộ. Ở chế độ bình thường (nếu có kênh báo hiệu giữa các thành phần) trên bộ định tuyến, dòng lệnh chỉ khả dụng để chẩn đoán và không khả dụng để thực hiện các thay đổi cục bộ, điều này đảm bảo tính bảo mật cục bộ và nguồn thay đổi duy nhất trong mạng như vậy là vQuản lý.

Bảo mật tích hợp – ở đây chúng ta không chỉ nói về việc bảo vệ dữ liệu người dùng khi truyền qua các kênh mở mà còn về tính bảo mật tổng thể của mạng WAN dựa trên công nghệ đã chọn.

• в DMVPN/PfR Có thể mã hóa dữ liệu người dùng và các giao thức báo hiệu. Khi sử dụng một số kiểu bộ định tuyến nhất định, các chức năng tường lửa với kiểm tra lưu lượng, IPS/IDS cũng có sẵn. Có thể phân đoạn mạng nhánh bằng VRF. Có thể xác thực các giao thức điều khiển (một yếu tố).

  Trong trường hợp này, bộ định tuyến từ xa được coi là thành phần đáng tin cậy của mạng theo mặc định - tức là. các trường hợp xâm phạm vật lý của các thiết bị riêng lẻ và khả năng truy cập trái phép vào chúng không được giả định hoặc tính đến; không có xác thực hai yếu tố của các thành phần giải pháp, trong trường hợp mạng phân tán theo địa lý; có thể mang lại những rủi ro bổ sung đáng kể.

• в SD WAN Tương tự như DMVPN, khả năng mã hóa dữ liệu người dùng được cung cấp nhưng với chức năng bảo mật mạng và phân đoạn L3/VRF được mở rộng đáng kể (tường lửa, IPS/IDS, lọc URL, lọc DNS, proxy AMP/TG, SASE, TLS/SSL, v.v.) d.). Đồng thời, việc trao đổi khóa mã hóa được thực hiện hiệu quả hơn thông qua bộ điều khiển vSmart (chứ không phải trực tiếp), thông qua các kênh tín hiệu được thiết lập sẵn được bảo vệ bằng mã hóa DTLS/TLS dựa trên chứng chỉ bảo mật. Điều này đảm bảo tính bảo mật của các sàn giao dịch như vậy và đảm bảo khả năng mở rộng tốt hơn của giải pháp lên tới hàng chục nghìn thiết bị trên cùng một mạng.

  Tất cả các kết nối tín hiệu (bộ điều khiển với bộ điều khiển, bộ điều khiển-bộ định tuyến) cũng được bảo vệ dựa trên DTLS/TLS. Bộ định tuyến được trang bị chứng chỉ an toàn trong quá trình sản xuất với khả năng thay thế/mở rộng. Xác thực hai yếu tố đạt được thông qua việc thực hiện bắt buộc và đồng thời hai điều kiện để bộ định tuyến/bộ điều khiển hoạt động trong mạng SD-WAN:

  • Chứng chỉ bảo mật hợp lệ
  • Quản trị viên đưa từng thành phần vào danh sách “trắng” các thiết bị được phép một cách rõ ràng và có ý thức.

Sự khác biệt về chức năng giữa SD-WAN và DMVPN/PfR

Chuyển sang thảo luận về sự khác biệt về chức năng, cần lưu ý rằng nhiều trong số chúng là sự tiếp nối của kiến ​​trúc - không có gì bí mật khi hình thành kiến ​​trúc của một giải pháp, các nhà phát triển bắt đầu từ những khả năng mà cuối cùng họ muốn có được . Hãy xem xét sự khác biệt đáng kể nhất giữa hai công nghệ.

AppQ (Chất lượng ứng dụng) – chức năng đảm bảo chất lượng truyền tải lưu lượng ứng dụng kinh doanh

Các chức năng chính của công nghệ đang được xem xét nhằm mục đích cải thiện trải nghiệm người dùng nhiều nhất có thể khi sử dụng các ứng dụng quan trọng trong kinh doanh trong mạng phân tán. Điều này đặc biệt quan trọng trong điều kiện một phần cơ sở hạ tầng không được CNTT kiểm soát hoặc thậm chí không đảm bảo truyền dữ liệu thành công.

Bản thân DMVPN không cung cấp các cơ chế như vậy. Điều tốt nhất có thể được thực hiện trong mạng DMVPN cổ điển là phân loại lưu lượng đi theo ứng dụng và ưu tiên lưu lượng đó khi truyền tới kênh WAN. Việc lựa chọn đường hầm DMVPN trong trường hợp này chỉ được xác định bởi tính khả dụng của nó và kết quả hoạt động của các giao thức định tuyến. Đồng thời, trạng thái đầu cuối của đường dẫn/đường hầm và khả năng xuống cấp một phần của nó không được tính đến theo các số liệu chính có ý nghĩa quan trọng đối với các ứng dụng mạng - độ trễ, biến đổi độ trễ (jitter) và tổn thất (% ). Về vấn đề này, việc so sánh trực tiếp DMVPN cổ điển với SD-WAN về mặt giải quyết các vấn đề về AppQ sẽ mất hết ý nghĩa - DMVPN không thể giải quyết được vấn đề này. Khi bạn thêm công nghệ Cisco Performance Routing (PfR) vào bối cảnh này, tình hình sẽ thay đổi và việc so sánh với Cisco SD-WAN sẽ trở nên có ý nghĩa hơn.

Trước khi thảo luận về sự khác biệt, dưới đây là một cái nhìn nhanh về sự tương tự giữa các công nghệ. Vì vậy, cả hai công nghệ:

• có cơ chế cho phép bạn đánh giá động trạng thái của từng đường hầm được thiết lập theo các số liệu nhất định - ở mức tối thiểu, độ trễ, biến thể độ trễ và mất gói (%)
• sử dụng một bộ công cụ cụ thể để hình thành, phân phối và áp dụng các quy tắc (chính sách) quản lý lưu lượng, có tính đến kết quả đo lường trạng thái của các số liệu chính của đường hầm.
• phân loại lưu lượng ứng dụng ở các cấp độ L3-L4 (DSCP) của mô hình OSI hoặc theo chữ ký ứng dụng L7 dựa trên cơ chế DPI được tích hợp trong bộ định tuyến
• Đối với các ứng dụng quan trọng, chúng cho phép bạn xác định các giá trị ngưỡng chấp nhận được của số liệu, quy tắc truyền lưu lượng theo mặc định và quy tắc định tuyến lại lưu lượng khi vượt quá giá trị ngưỡng.
• Khi đóng gói lưu lượng trong GRE/IPSec, họ sử dụng cơ chế công nghiệp đã được thiết lập để chuyển các dấu DSCP nội bộ sang tiêu đề gói GRE/IPSEC bên ngoài, cho phép đồng bộ hóa các chính sách QoS của tổ chức và nhà khai thác viễn thông (nếu có SLA thích hợp) .

Các số liệu đầu cuối SD-WAN và DMVPN/PfR khác nhau như thế nào?

DMVPN/PfR

• Cả cảm biến phần mềm chủ động và thụ động (Đầu dò) đều được sử dụng để đánh giá các số liệu về tình trạng đường hầm tiêu chuẩn. Những cái hoạt động dựa trên lưu lượng truy cập của người dùng, những cái thụ động mô phỏng lưu lượng truy cập đó (khi không có lưu lượng truy cập).
• Không có tinh chỉnh bộ hẹn giờ và điều kiện phát hiện suy thoái - thuật toán đã được sửa.
• Ngoài ra, có sẵn phép đo băng thông được sử dụng theo hướng đi. Điều này bổ sung thêm tính linh hoạt trong quản lý lưu lượng cho DMVPN/PfR.
• Đồng thời, một số cơ chế PfR, khi vượt quá số liệu, sẽ dựa vào tín hiệu phản hồi dưới dạng các thông báo TCA (Cảnh báo vượt ngưỡng) đặc biệt phải đến từ người nhận lưu lượng truy cập tới nguồn, từ đó giả định rằng trạng thái của các kênh đo được ít nhất phải đủ để truyền các bản tin TCA như vậy. Điều này trong hầu hết các trường hợp không phải là vấn đề, nhưng rõ ràng là không thể đảm bảo được.

SD WAN

• Để đánh giá toàn diện các số liệu trạng thái đường hầm tiêu chuẩn, giao thức BFD được sử dụng ở chế độ tiếng vang. Trong trường hợp này, không cần phản hồi đặc biệt dưới dạng TCA hoặc các thông báo tương tự - việc cách ly các miền lỗi được duy trì. Nó cũng không yêu cầu sự hiện diện của lưu lượng người dùng để đánh giá trạng thái đường hầm.
• Có thể tinh chỉnh bộ định thời BFD để điều chỉnh tốc độ phản hồi và độ nhạy của thuật toán đối với sự suy giảm kênh liên lạc từ vài giây đến vài phút.

  

• Tại thời điểm viết bài, chỉ có một phiên BFD trong mỗi đường hầm. Điều này có khả năng tạo ra ít chi tiết hơn trong phân tích trạng thái đường hầm. Trong thực tế, điều này chỉ có thể trở thành một hạn chế nếu bạn sử dụng kết nối WAN dựa trên MPLS L2/L3 VPN với QoS SLA đã được thỏa thuận - nếu đánh dấu DSCP của lưu lượng BFD (sau khi đóng gói trong IPSec/GRE) khớp với hàng đợi có mức độ ưu tiên cao trong mạng của nhà khai thác viễn thông thì điều này có thể ảnh hưởng đến độ chính xác và tốc độ phát hiện sự suy giảm đối với lưu lượng có mức độ ưu tiên thấp. Đồng thời, có thể thay đổi nhãn BFD mặc định để giảm nguy cơ xảy ra những tình huống như vậy. Trong các phiên bản tương lai của phần mềm Cisco SD-WAN, dự kiến ​​sẽ có nhiều cài đặt BFD được tinh chỉnh hơn cũng như khả năng khởi chạy nhiều phiên BFD trong cùng một đường hầm với các giá trị DSCP riêng lẻ (dành cho các ứng dụng khác nhau).
• Ngoài ra, BFD còn cho phép bạn ước tính kích thước gói tối đa có thể được truyền qua một đường hầm cụ thể mà không bị phân mảnh. Điều này cho phép SD-WAN tự động điều chỉnh các tham số như MTU và TCP MSS Điều chỉnh để tận dụng tối đa băng thông có sẵn trên mỗi liên kết.
• Trong SD-WAN, tùy chọn đồng bộ hóa QoS từ các nhà khai thác viễn thông cũng khả dụng, không chỉ dựa trên các trường L3 DSCP mà còn dựa trên các giá trị L2 CoS, có thể được tạo tự động trong mạng nhánh bằng các thiết bị chuyên dụng - ví dụ: IP những cái điện thoại

Khả năng, phương pháp xác định và áp dụng chính sách AppQ khác nhau như thế nào?

Chính sách DMVPN/PfR:

• Được xác định trên (các) bộ định tuyến nhánh trung tâm thông qua dòng lệnh CLI hoặc mẫu cấu hình CLI. Việc tạo mẫu CLI yêu cầu phải chuẩn bị và có kiến ​​thức về cú pháp chính sách.

  

• Được xác định trên toàn cầu không có khả năng cấu hình/thay đổi riêng lẻ theo yêu cầu của các phân đoạn mạng riêng lẻ.
• Việc tạo chính sách tương tác không được cung cấp trong giao diện đồ họa.
• Việc theo dõi các thay đổi, kế thừa và tạo nhiều phiên bản chính sách để chuyển đổi nhanh không được cung cấp.
• Phân phối tự động đến các bộ định tuyến của các chi nhánh từ xa. Trong trường hợp này, các kênh liên lạc tương tự được sử dụng để truyền dữ liệu người dùng. Nếu không có kênh liên lạc giữa chi nhánh trung tâm và chi nhánh từ xa thì việc phân phối/thay đổi chính sách là không thể.
• Chúng được sử dụng trên mỗi bộ định tuyến và nếu cần, sẽ sửa đổi kết quả của các giao thức định tuyến tiêu chuẩn, có mức độ ưu tiên cao hơn.
• Đối với trường hợp tất cả các liên kết WAN nhánh đều bị mất lưu lượng truy cập đáng kể, không có cơ chế bồi thường được cung cấp.

Chính sách SD-WAN:

• Được xác định trong GUI vQuản lý thông qua trình hướng dẫn mẫu tương tác.
• Hỗ trợ tạo nhiều chính sách, sao chép, kế thừa, chuyển đổi giữa các chính sách theo thời gian thực.
• Hỗ trợ cài đặt chính sách riêng cho các phân đoạn mạng (nhánh) khác nhau
• Chúng được phân phối bằng bất kỳ kênh tín hiệu có sẵn nào giữa bộ điều khiển và bộ định tuyến và/hoặc vSmart - không phụ thuộc trực tiếp vào kết nối mặt phẳng dữ liệu giữa các bộ định tuyến. Tất nhiên, điều này yêu cầu kết nối IP giữa chính bộ định tuyến và bộ điều khiển.

  

• Đối với các trường hợp khi tất cả các nhánh có sẵn của một nhánh đều bị mất dữ liệu đáng kể vượt quá ngưỡng chấp nhận được đối với các ứng dụng quan trọng, có thể sử dụng các cơ chế bổ sung để tăng độ tin cậy truyền tải:
  • FEC (Chuyển tiếp sửa lỗi) – sử dụng thuật toán mã hóa dự phòng đặc biệt. Khi truyền lưu lượng quan trọng qua các kênh có tỷ lệ tổn thất đáng kể, FEC có thể được kích hoạt tự động và cho phép, nếu cần, khôi phục phần dữ liệu bị mất. Điều này làm tăng nhẹ băng thông truyền tải được sử dụng nhưng cải thiện đáng kể độ tin cậy.

    

  • Sao chép luồng dữ liệu – ngoài FEC, chính sách này có thể cung cấp tính năng tự động sao chép lưu lượng truy cập của các ứng dụng đã chọn trong trường hợp mức tổn thất nghiêm trọng hơn mà FEC không thể bù đắp. Trong trường hợp này, dữ liệu đã chọn sẽ được truyền qua tất cả các đường hầm tới nhánh nhận và sau đó sẽ loại bỏ trùng lặp (loại bỏ các bản sao bổ sung của gói). Cơ chế này làm tăng đáng kể việc sử dụng kênh nhưng cũng tăng đáng kể độ tin cậy truyền dẫn.

Khả năng SD-WAN của Cisco, không có sự tương tự trực tiếp trong DMVPN/PfR

Kiến trúc của giải pháp Cisco SD-WAN trong một số trường hợp cho phép bạn có được các khả năng cực kỳ khó triển khai trong DMVPN/PfR hoặc không thực tế do chi phí lao động cần thiết hoặc hoàn toàn không thể thực hiện được. Chúng ta hãy nhìn vào điều thú vị nhất trong số họ:

Kỹ thuật Giao thông (TE)

TE bao gồm các cơ chế cho phép lưu lượng phân nhánh khỏi đường dẫn tiêu chuẩn được hình thành bởi các giao thức định tuyến. TE thường được sử dụng để đảm bảo tính sẵn sàng cao của các dịch vụ mạng, thông qua khả năng chuyển nhanh chóng và/hoặc chủ động chuyển lưu lượng quan trọng sang đường truyền thay thế (rời rạc), nhằm đảm bảo chất lượng dịch vụ tốt hơn hoặc tốc độ phục hồi trong trường hợp có sự cố. trên con đường chính.

Khó khăn trong việc triển khai TE nằm ở việc phải tính toán và dự trữ (kiểm tra) trước một đường đi thay thế. Trong mạng MPLS của các nhà khai thác viễn thông, vấn đề này được giải quyết bằng cách sử dụng các công nghệ như Kỹ thuật lưu lượng MPLS với phần mở rộng của giao thức IGP và giao thức RSVP. Cũng gần đây, công nghệ Định tuyến phân đoạn, được tối ưu hóa hơn cho cấu hình và điều phối tập trung, ngày càng trở nên phổ biến. Trong các mạng WAN cổ điển, các công nghệ này thường không được trình bày hoặc được giảm bớt bằng cách sử dụng các cơ chế từng chặng như Định tuyến dựa trên chính sách (PBR), có khả năng phân nhánh lưu lượng nhưng triển khai điều này trên từng bộ định tuyến riêng biệt - mà không cần lấy tính đến trạng thái tổng thể của mạng hoặc kết quả PBR ở các bước trước đó hoặc tiếp theo. Kết quả của việc sử dụng các tùy chọn TE này thật đáng thất vọng - MPLS TE, do sự phức tạp của cấu hình và hoạt động, theo quy định, chỉ được sử dụng trong phần quan trọng nhất của mạng (lõi) và PBR được sử dụng trên các bộ định tuyến riêng lẻ mà không có khả năng tạo chính sách PBR thống nhất cho toàn bộ mạng. Rõ ràng, điều này cũng áp dụng cho các mạng dựa trên DMVPN.

Về mặt này, SD-WAN cung cấp một giải pháp tinh tế hơn nhiều, không chỉ dễ cấu hình mà còn có khả năng mở rộng quy mô tốt hơn nhiều. Đây là kết quả của kiến ​​trúc mặt phẳng điều khiển và mặt phẳng chính sách được sử dụng. Việc triển khai mặt phẳng chính sách trong SD-WAN cho phép bạn xác định chính sách TE một cách tập trung - lưu lượng nào được quan tâm? dành cho VPN nào? Thông qua các nút/đường hầm nào là cần thiết hoặc ngược lại, bị cấm hình thành một tuyến đường thay thế? Đổi lại, việc tập trung quản lý mặt phẳng điều khiển dựa trên bộ điều khiển vSmart cho phép bạn sửa đổi kết quả định tuyến mà không cần dùng đến cài đặt của từng thiết bị - bộ định tuyến chỉ nhìn thấy kết quả của logic được tạo trong giao diện vQuản lý và được chuyển để sử dụng cho vSmart.

Chuỗi dịch vụ

Hình thành chuỗi dịch vụ thậm chí còn là một nhiệm vụ tốn nhiều công sức hơn trong định tuyến cổ điển so với cơ chế Kỹ thuật-Giao thông đã được mô tả. Thật vậy, trong trường hợp này, không chỉ cần tạo một tuyến đường đặc biệt cho một ứng dụng mạng cụ thể mà còn phải đảm bảo khả năng loại bỏ lưu lượng truy cập khỏi mạng trên một số (hoặc tất cả) các nút nhất định của mạng SD-WAN để xử lý bằng cách một ứng dụng hoặc dịch vụ đặc biệt (Tường lửa, Cân bằng, Bộ nhớ đệm, Kiểm tra lưu lượng, v.v.). Đồng thời, cần có khả năng kiểm soát trạng thái của các dịch vụ bên ngoài này để ngăn chặn các tình huống lỗ đen và cũng cần có các cơ chế cho phép các dịch vụ bên ngoài cùng loại đó được đặt ở các vị trí địa lý khác nhau. với khả năng mạng tự động chọn nút dịch vụ tối ưu nhất để xử lý lưu lượng của một nhánh cụ thể . Trong trường hợp Cisco SD-WAN, điều này khá dễ dàng đạt được bằng cách tạo ra một chính sách tập trung phù hợp để “gắn kết” tất cả các khía cạnh của chuỗi dịch vụ mục tiêu thành một tổng thể duy nhất và tự động thay đổi logic mặt phẳng dữ liệu và mặt phẳng điều khiển chỉ khi nào và khi cần thiết.

Khả năng tạo xử lý phân phối địa lý lưu lượng truy cập của các loại ứng dụng đã chọn theo một trình tự nhất định trên thiết bị chuyên dụng (nhưng không liên quan đến chính mạng SD-WAN) có lẽ là minh chứng rõ ràng nhất về những ưu điểm của Cisco SD-WAN so với cổ điển công nghệ và thậm chí một số giải pháp SD thay thế -WAN từ các nhà sản xuất khác.

Kết quả ra sao?

Rõ ràng, cả DMVPN (có hoặc không có Định tuyến hiệu suất) và Cisco SD-WAN cuối cùng giải quyết được những vấn đề rất giống nhau liên quan đến mạng WAN phân tán của tổ chức. Đồng thời, sự khác biệt đáng kể về kiến ​​trúc và chức năng trong công nghệ SD-WAN của Cisco dẫn đến quá trình giải quyết các vấn đề này đến một mức chất lượng khác. Tóm lại, chúng ta có thể lưu ý những khác biệt đáng kể sau đây giữa công nghệ SD-WAN và DMVPN/PfR:

• DMVPN/PfR nói chung sử dụng các công nghệ đã được thử nghiệm theo thời gian để xây dựng mạng VPN lớp phủ và về mặt mặt phẳng dữ liệu, tương tự như công nghệ SD-WAN hiện đại hơn, tuy nhiên, có một số hạn chế ở dạng cấu hình tĩnh bắt buộc của bộ định tuyến và việc lựa chọn cấu trúc liên kết được giới hạn ở Hub-n-Spoke. Mặt khác, DMVPN/PfR có một số chức năng chưa có trong SD-WAN (chúng ta đang nói về BFD cho mỗi ứng dụng).
• Trong mặt phẳng điều khiển, các công nghệ khác nhau về cơ bản. Đặc biệt, có tính đến việc xử lý tập trung các giao thức báo hiệu, SD-WAN cho phép thu hẹp đáng kể các miền lỗi và “tách rời” quá trình truyền lưu lượng người dùng khỏi tương tác tín hiệu - việc tạm thời không có bộ điều khiển không ảnh hưởng đến khả năng truyền lưu lượng người dùng . Đồng thời, việc tạm thời không có sẵn của bất kỳ chi nhánh nào (bao gồm cả chi nhánh trung tâm) không ảnh hưởng đến khả năng tương tác của các chi nhánh khác với nhau và với bộ điều khiển.
• Kiến trúc hình thành và ứng dụng chính sách quản lý lưu lượng trong trường hợp SD-WAN cũng vượt trội hơn so với DMVPN/PfR - dự trữ địa lý được triển khai tốt hơn nhiều, không cần kết nối tới Hub, có nhiều cơ hội phạt hơn -điều chỉnh chính sách, danh sách các kịch bản quản lý giao thông được thực hiện cũng lớn hơn nhiều.
• Quá trình điều phối giải pháp cũng khác biệt đáng kể. DMVPN giả định sự hiện diện của các tham số đã biết trước đó phải được phản ánh bằng cách nào đó trong cấu hình, điều này phần nào hạn chế tính linh hoạt của giải pháp và khả năng thay đổi động. Đổi lại, SD-WAN dựa trên mô hình rằng tại thời điểm kết nối ban đầu, bộ định tuyến “không biết gì” về bộ điều khiển của nó, nhưng biết “bạn có thể hỏi ai” - điều này không chỉ đủ để tự động thiết lập liên lạc với bộ điều khiển mà còn để tự động hình thành cấu trúc liên kết mặt phẳng dữ liệu được kết nối đầy đủ, sau đó có thể được cấu hình/thay đổi linh hoạt bằng các chính sách.
• Về mặt quản lý tập trung, tự động hóa và giám sát, SD-WAN dự kiến ​​sẽ vượt qua khả năng của DMVPN/PfR, vốn đã phát triển từ các công nghệ cổ điển và phụ thuộc nhiều hơn vào dòng lệnh CLI cũng như việc sử dụng các hệ thống NMS dựa trên mẫu.
• Trong SD-WAN, so với DMVPN, các yêu cầu bảo mật đã đạt đến mức chất lượng khác. Các nguyên tắc chính là không tin cậy, khả năng mở rộng và xác thực hai yếu tố.

Những kết luận đơn giản này có thể gây ấn tượng sai lầm rằng việc tạo mạng dựa trên DMVPN/PfR ngày nay đã mất hết sự liên quan. Tất nhiên điều này không hoàn toàn đúng. Ví dụ: trong trường hợp mạng sử dụng nhiều thiết bị lỗi thời và không có cách nào thay thế, DMVPN có thể cho phép bạn kết hợp các thiết bị “cũ” và “mới” thành một mạng phân tán địa lý duy nhất với nhiều ưu điểm được mô tả bên trên.

Mặt khác, cần nhớ rằng tất cả các bộ định tuyến công ty hiện tại của Cisco dựa trên iOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) ngày nay đều hỗ trợ mọi chế độ hoạt động - cả định tuyến cổ điển và DMVPN và SD-WAN - sự lựa chọn được xác định bởi nhu cầu hiện tại và hiểu rằng bất cứ lúc nào, sử dụng cùng một thiết bị, bạn có thể bắt đầu hướng tới công nghệ tiên tiến hơn.

Nguồn: www.habr.com