主持人 > 博客 > 管理 > 思科 SD-WAN 会切断 DMVPN 所在的分支吗?

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

自2017年XNUMX月思科收购Viptela以来,组织分布式企业网络所提供的主要技术已成为 思科软件定义广域网。 过去3年,SD-WAN技术经历了质和量的诸多变化。 因此,功能得到了显着扩展,并且该系列的经典路由器上出现了支持 思科 ISR 1000、ISR 4000、ASR 1000 和虚拟 CSR 1000v。 与此同时,许多思科客户和合作伙伴仍然想知道: 思科 SD-WAN 与基于以下技术的已经熟悉的方法之间有什么区别 思科DMVPN и 思科性能路由 这些差异有多重要?

这里我们应该立即保留一点,在思科产品组合中的SD-WAN出现之前,DMVPN与PfR一起构成了架构中的关键部分 思科 IWAN(智能广域网),这又是成熟的 SD-WAN 技术的前身。 尽管所解决的任务和解决方法总体相似,但 IWAN 从未达到 SD-WAN 所需的自动化、灵活性和可扩展性水平,而且随着时间的推移,IWAN 的发展显着下降。 与此同时,构成 IWAN 的技术并没有消失,许多客户继续成功地使用它们,包括在现代设备上。 于是,一个有趣的情况出现了——同样的思科设备允许您根据客户的要求和期望选择最合适的WAN技术(经典、DMVPN+PfR或SD-WAN)。

本文并不打算详细分析思科 SD-WAN 和 DMVPN 技术的所有功能(带或不带性能路由) - 有大量可用的文档和材料。 主要任务是尝试评估这些技术之间的关键差异。 但在继续讨论这些差异之前,让我们简要回顾一下这些技术本身。

什么是 Cisco DMVPN?为什么需要它?

思科 DMVPN 解决了​​使用任意类型的通信通道(包括互联网)时远程分支网络与企业中央办公室网络的动态(=可扩展)连接问题(=通信通道加密)。 从技术上讲,这是通过以点对多点模式创建具有“星”型(Hub-n-Spoke)逻辑拓扑的 L3 VPN 类虚拟化覆盖网络来实现的。 为了实现这一目标,DMVPN 结合使用了以下技术:

  • IP路由
  • 多点 GRE 隧道 (mGRE)
  • 下一跳解析协议 (NHRP)
  • IPSec 加密配置文件

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

与使用 MPLS VPN 通道的经典路由相比,Cisco DMVPN 的主要优势是什么?

  • 要创建分支机构间网络,可以使用任何通信通道 - 任何可以在分支机构之间提供 IP 连接的通道都是合适的,同时流量将被加密(如果需要)和平衡(如果可能)
  • 自动形成分支之间的全连接拓扑。 同时中心与远端分支之间有静态隧道,远端分支之间按需建立动态隧道(如果有流量)
  • 中心和远端分支的路由器在接口IP地址方面具有相同的配置。 通过使用mGRE,无需单独配置数十、数百甚至数千条隧道。 因此,通过正确的设计可以实现良好的可扩展性。

什么是思科性能路由以及为什么需要它?

在分支机构间网络上使用 DMVPN 时,一个极其重要的问题仍未解决 - 如何动态评估每个 DMVPN 隧道的状态,以符合对我们组织至关重要的流量要求,并再次基于这样的评估,动态地制定重新路由的决定? 事实上,DMVPN 在这一部分与经典路由几乎没有什么不同 - 最好的办法是配置 QoS 机制,该机制将允许您在传出方向上确定流量的优先级,但绝不能够考虑网络的状态一次或另一次整个路径。

如果通道部分降级而不是完全降级该怎么办 - 如何检测和评估? DMVPN 本身无法做到这一点。 考虑到连接分支机构的通道可以通过完全不同的电信运营商,使用完全不同的技术,这项任务变得极其重要。 这就是思科性能路由技术可以发挥作用的地方,当时该技术已经经历了几个发展阶段。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

思科性能路由(以下简称 PfR)的任务归结为根据对网络应用程序重要的关键指标来测量流量路径(隧道)的状态 - 延迟、延迟变化(抖动)和数据包丢失(百分比)。 此外,还可以测量所使用的带宽。 这些测量尽可能接近实时且合理地发生,并且这些测量的结果允许使用 PfR 的路由器动态地做出关于是否需要更改这种或那种类型流量的路由的决策。

因此,DMVPN/PfR组合的任务可以简单描述如下:

  • 允许客户使用 WAN 网络上的任何通信通道
  • 确保这些渠道上关键应用程序的最高质量

什么是思科 SD-WAN?

思科 SD-WAN 是一种使用 SDN 方法创建和运营组织的 WAN 网络的技术。 这尤其意味着使用所谓的控制器(软件元素),它提供所有解决方案组件的集中编排和自动配置。 与规范的 SDN(Clean Slate 风格)不同,思科 SD-WAN 使用多种类型的控制器,每种控制器都执行自己的角色 - 这样做是为了提供更好的可扩展性和地理冗余。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

就SD-WAN而言,使用任何类型的通道并确保业务应用程序运行的任务保持不变,但与此同时,对此类网络的自动化、可扩展性、安全性和灵活性的要求不断扩大。

差异讨论

如果我们现在开始分析这些技术之间的差异,它们将属于以下类别之一:

  • 架构差异 - 功能如何分布在解决方案的各个组件中,如何组织这些组件的交互,以及这如何影响技术的功能和灵活性?
  • 功能性——一项技术可以做什么而另一种技术却不能? 这真的那么重要吗?

架构上的差异是什么?它们重要吗?

这些技术中的每一种都有许多“移动部件”,这些部件不仅在它们的作用上有所不同,而且在它们之间的交互方式上也有所不同。 这些原则的考虑程度以及解决方案的一般机制直接决定了其可扩展性、容错性和整体效率。

让我们更详细地看看该架构的各个方面:

数据平面 – 解决方案的一部分,负责在源和接收者之间传输用户流量。 DMVPN 和 SD-WAN 在基于多点 GRE 隧道的路由器本身上的实现通常相同。 不同之处在于这些隧道的必要参数集是如何形成的:

  • в DMVPN/PfR 是具有星形或星形拓扑结构的专有两级节点层次结构。 需要Hub的静态配置和Spoke到Hub的静态绑定,以及通过NHRP协议进行交互以形成数据平面连接。 最后, 使 Hub 的更改变得更加困难例如,与更改/连接新的 WAN 通道或更改现有通道的参数相关。
  • в SD-WAN 是一个完全动态模型,用于基于控制平面(OMP 协议)和编排平面(与 vBond 控制器交互以进行控制器检测和 NAT 遍历任务)检测已安装隧道的参数。 在这种情况下,可以使用任何叠加的拓扑,包括分层拓扑。 在已建立的覆盖隧道拓扑内,可以灵活配置每个 VPN(VRF) 中的逻辑拓扑。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

控制平面 – 解决方案组件之间交换、过滤和修改路由及其他信息的功能。

  • в DMVPN/PfR – 仅在集线器和分支路由器之间执行。 分支之间不可能直接交换路由信息。 最后, 如果没有正常运行的集线器,控制平面和数据平面就无法运行,这对集线器提出了额外的高可用性要求,而这些要求并不总是能够满足。
  • в SD-WAN – 控制平面永远不会在路由器之间直接进行 – 交互发生在 OMP 协议的基础上,并且必须通过单独的专门类型的 vSmart 控制器来执行,该控制器提供了平衡、地理预留和集中控制的可能性信号负载。 OMP 协议的另一个特点是它具有显着的抗丢失能力,并且独立于与控制器的通信通道的速度(当然,在合理的范围内)。 同样成功地允许您将 SD-WAN 控制器放置在公共云或私有云中,并通过互联网进行访问。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

政策层面 – 解决方案的一部分,负责在分布式网络上定义、分发和应用流量管理策略。

  • 虚拟专用网 – 受到通过 CLI 或 Prime 基础设施模板在每个路由器上单独配置的服务质量 (QoS) 策略的有效限制。
  • DMVPN/PfR – PfR 策略通过 CLI 在集中式主控制器 (MC) 路由器上形成,然后自动分发到分支 MC。 在这种情况下,使用与数据平面相同的策略传输路径。 不可能将策略、路由信息和用户数据的交换分开。 策略传播需要 Hub 和 Spoke 之间存在 IP 连接。 在这种情况下,如果需要,MC功能可以与DMVPN路由器结合使用。 可以(但不是必需)使用 Prime 基础设施模板进行集中策略生成。 一个重要的特点是,策略是在整个网络中以相同的方式在全球范围内形成的 - 不支持针对各个细分市场的单独策略.
  • SD-WAN – 流量管理和服务质量策略通过 Cisco vManage 图形界面集中确定,也可通过互联网访问(如有必要)。 它们直接通过信令通道进行分发,或者通过 vSmart 控制器间接进行分发(取决于策略的类型)。 它们不依赖于路由器之间的数据平面连接,因为使用控制器和路由器之间的所有可用流量路径。

    针对不同的网段,可以灵活制定不同的策略——策略的范围由解决方案中提供的许多唯一标识符决定——分支编号、应用类型、流量方向等。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

编排平面 – 允许组件动态检测彼此、配置和协调后续交互的机制。

  • в DMVPN/PfR 路由器之间的相互发现是基于Hub设备的静态配置和Spoke设备的相应配置。 动态发现仅针对 Spoke 进行,它将其 Hub 连接参数报告给设备,而设备又由 Spoke 进行预配置。 如果 Spoke 和至少一个 Hub 之间没有 IP 连接,就不可能形成数据平面或控制平面。
  • в SD-WAN 解决方案组件的编排使用 vBond 控制器进行,每个组件(路由器和 vManage/vSmart 控制器)必须首先与该控制器建立 IP 连接。

    最初,组件不知道彼此的连接参数 - 为此它们需要 vBond 中间协调器。 总体原理如下 - 每个组件在初始阶段仅学习(自动或静态)到 vBond 的连接参数,然后 vBond 通知路由器有关 vManage 和 vSmart 控制器(之前发现)的信息,这使得自动建立连接成为可能所有必要的信令连接。

    下一步是让新路由器通过 OMP 与 vSmart 控制器通信来了解网络上的其他路由器。 因此,路由器在最初不知道任何有关网络参数的情况下,能够全自动检测并连接到控制器,然后还自动检测并与其他路由器形成连接。 在这种情况下,所有组件的连接参数最初都是未知的,并且可能在操作过程中发生变化。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

管理平面 – 提供集中管理和监控的解决方案的一部分。

  • DMVPN/PfR – 没有提供专门的管理平面解决方案。 对于基本的自动化和监控,可以使用 Cisco Prime 基础设施等产品。 每个路由器都可以通过 CLI 命令行进行控制。 不提供通过 API 与外部系统的集成。
  • SD-WAN – 所有常规交互和监控均通过 vManage 控制器的图形界面集中进行。 该解决方案的所有功能无一例外都可通过 vManage 以及完整记录的 REST API 库进行配置。

    vManage 中的所有 SD-WAN 网络设置都归结为两个主要构造 - 设备模板 (Device Template) 的形成以及确定网络操作和流量处理逻辑的策略的形成。 同时,vManage 广播管理员生成的策略,自动选择需要进行哪些更改以及需要在哪些单独设备/控制器上进行更改,这显着提高了解决方案的效率和可扩展性。

    通过 vManage 界面,不仅可以配置 Cisco SD-WAN 解决方案,还可以全面监控解决方案所有组件的状态,直至各个隧道指标的当前状态以及各种应用程序使用情况的统计数据基于 DPI 分析。

    尽管交互集中化,所有组件(控制器和路由器)还具有功能齐全的 CLI 命令行,这在实施阶段或紧急情况下进行本地诊断是必需的。 在路由器上的正常模式下(如果组件之间存在信令通道),命令行仅可用于诊断,不可用于进行本地更改,这保证了本地安全,并且此类网络中唯一的更改来源是 vManage。

综合安全 – 这里我们不仅讨论通过开放通道传输的用户数据的保护,还讨论基于所选技术的 WAN 网络的整体安全性。

  • в DMVPN/PfR 可以对用户数据和信令协议进行加密。 当使用某些路由器型号时,还可以使用具有流量检查、IPS/IDS 的防火墙功能。 可以使用 VRF 对分支网络进行分段。 可以验证(单因素)控制协议。

    在这种情况下,远程路由器默认被视为网络的可信元素 - 即没有假设或考虑单个设备的物理损坏以及未经授权访问它们的可能性;解决方案组件没有双因素身份验证,这在地理分布式网络的情况下 可能会带来重大的额外风险。

  • в SD-WAN 与 DMVPN 类比,提供了加密用户数据的能力,但显着扩展了网络安全性和 L3/VRF 分段功能(防火墙、IPS/IDS、URL 过滤、DNS 过滤、AMP/TG、SASE、TLS/SSL 代理、等)d.)。 同时,加密密钥的交换通过 vSmart 控制器(而不是直接)通过基于安全证书的 DTLS/TLS 加密保护的预先建立的信令通道更有效地进行。 这反过来又保证了此类交换的安全性,并确保解决方案具有更好的可扩展性,最多可容纳同一网络上的数万台设备。

    所有信令连接(控制器到控制器、控制器到路由器)也基于 DTLS/TLS 受到保护。 路由器在生产过程中配备了安全证书,并且可以更换/扩展。 双因素身份验证是通过强制同时满足路由器/控制器在 SD-WAN 网络中运行的两个条件来实现的:

    • 有效的安全证书
    • 管理员明确且有意识地将每个组件包含在允许设备的“白”列表中。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

SD-WAN 和 DMVPN/PfR 之间的功能差异

继续讨论功能差异,应该指出的是,其中许多差异是架构差异的延续 - 众所周知,在形成解决方案的架构时,开发人员从他们最终想要获得的功能开始。 让我们看看这两种技术之间最显着的差异。

AppQ(应用程序质量)——保证业务应用流量传输质量的功能

正在考虑的技术的关键功能旨在尽可能改善在分布式网络中使用关键业务应用程序时的用户体验。 这在部分基础设施不受 IT 控制或什至不能保证数据成功传输的情况下尤其重要。

DMVPN 本身不提供此类机制。 在经典 DMVPN 网络中可以做的最好的事情是按应用程序对传出流量进行分类,并在传输到 WAN 通道时对其进行优先级排序。 在这种情况下,DMVPN 隧道的选择仅取决于其可用性和路由协议的运行结果。 同时,在对网络应用而言重要的关键指标——延迟、延迟变化(抖动)和损耗(%)方面,没有考虑路径/隧道的端到端状态及其可能的部分降级。 )。 就此而言,直接将经典DMVPN与SD-WAN在解决AppQ问题方面进行比较就失去了一切意义——DMVPN无法解决这个问题。 当您将思科性能路由 (PfR) 技术添加到这种环境中时,情况就会发生变化,与思科 SD-WAN 的比较变得更有意义。

在我们讨论差异之前,先快速浏览一下这些技术的相似之处。 因此,这两种技术:

  • 拥有一种机制,允许您根据某些指标动态评估每个已建立隧道的状态 - 至少包括延迟、延迟变化和数据包丢失 (%)
  • 使用一组特定的工具来形成、分发和应用流量管理规则(策略),同时考虑关键隧道指标状态的测量结果。
  • 在 OSI 模型的 L3-L4 (DSCP) 级别或基于路由器内置的 DPI 机制通过 L7 应用程序签名对应用程序流量进行分类
  • 对于重要的应用程序,它们允许您确定可接受的指标阈值、默认传输流量的规则以及超过阈值时重新路由流量的规则。
  • 当以 GRE/IPSec 封装流量时,他们使用已建立的行业机制将内部 DSCP 标记传输到外部 GRE/IPSEC 数据包标头,这允许同步组织和电信运营商的 QoS 策略(如果有适当的 SLA) 。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

SD-WAN 和 DMVPN/PfR 端到端指标有何不同?

DMVPN/PfR

  • 主动和被动软件传感器(探针)都用于评估标准隧道健康指标。 主动式基于用户流量,被动式模拟此类流量(如果没有)。
  • 没有对计时器和退化检测条件进行微调——算法是固定的。
  • 此外,还可以测量出站方向的已用带宽。 这为 DMVPN/PfR 增加了额外的流量管理灵活性。
  • 同时,一些 PfR 机制在超过指标时依赖于特殊 TCA(阈值交叉警报)消息形式的反馈信令,这些消息必须从流量接收方发送到源头,而源头又假设流量的状态测量的信道应至少足以传输此类 TCA 消息。 这在大多数情况下不是问题,但显然不能保证。

SD-WAN

  • 对于标准隧道状态度量的端到端评估,在回显模式下使用 BFD 协议。 在这种情况下,不需要 TCA 或类似消息形式的特殊反馈 - 保持故障域的隔离。 它也不需要存在用户流量来评估隧道状态。
  • 可以微调 BFD 计时器,以调节算法对通信信道退化的响应速度和灵敏度,从几秒到几分钟。

    思科 SD-WAN 会切断 DMVPN 所在的分支吗?

  • 截至撰写本文时,每个隧道中只有一个 BFD 会话。 这可能会降低隧道状态分析的粒度。 实际上,只有当您使用基于 MPLS L2/L3 VPN 且具有商定的 QoS SLA 的 WAN 连接时,这才会成为限制 - 如果 BFD 流量的 DSCP 标记(在 IPSec/GRE 中封装后)与电信运营商的网络,则可能会影响低优先级流量降级检测的准确性和速度。 同时,可以更改默认的 BFD 标签以降低出现此类情况的风险。 在思科 SD-WAN 软件的未来版本中,预计会有更多微调的 BFD 设置,并且能够使用单独的 DSCP 值(针对不同的应用程序)在同一隧道内启动多个 BFD 会话。
  • BFD 还允许您估计可以通过特定隧道传输且不分段的最大数据包大小。 这允许 SD-WAN 动态调整 MTU 和 TCP MSS 调整等参数,以充分利用每个链路上的可用带宽。
  • 在SD-WAN中,还可以选择电信运营商的QoS同步选项,不仅基于L3 DSCP字段,还基于L2 CoS值,这些值可以由专用设备在分支网络中自动生成 - 例如IP电话

定义和应用 AppQ 策略的功能、方法有何不同?

DMVPN/PfR 政策:

  • 通过 CLI 命令行或 CLI 配置模板在中央分支路由器上定义。 生成 CLI 模板需要准备和了解策略语法。

    思科 SD-WAN 会切断 DMVPN 所在的分支吗?

  • 全局定义 无法根据各个网段的要求进行单独配置/更改。
  • 图形界面中不提供交互式策略生成。
  • 不提供跟踪更改、继承以及创建多个版本的策略以进行快速切换。
  • 自动分发到远程分支机构的路由器。 在这种情况下,使用与发送用户数据相同的通信信道。 如果中央和远程分支之间没有通信通道,则不可能分发/更改策略。
  • 它们在每个路由器上使用,并在必要时修改标准路由协议的结果,具有更高的优先级。
  • 对于所有分支机构 WAN 链路都出现严重流量丢失的情况, 没有提供补偿机制.

SD-WAN 政策:

  • 通过交互式模板向导在 vManage GUI 中定义。
  • 支持创建多个策略,并支持策略之间的实时复制、继承、切换。
  • 支持不同网段(分支)单独的策略设置
  • 它们使用控制器和路由器和/或 vSmart 之间的任何可用信号通道进行分发 - 不直接依赖于路由器之间的数据平面连接。 当然,这需要路由器本身和控制器之间有 IP 连接。

    思科 SD-WAN 会切断 DMVPN 所在的分支吗?

  • 对于当分支的所有可用分支都经历超过关键应用程序可接受阈值的严重数据丢失的情况,可以使用额外的机制来提高传输可靠性:
    • FEC(前向纠错) – 使用特殊的冗余编码算法。 当通过丢失率较高的通道传输关键流量时,FEC 可以自动激活,并在必要时允许恢复丢失的数据部分。 这稍微增加了所使用的传输带宽,但显着提高了可靠性。

      思科 SD-WAN 会切断 DMVPN 所在的分支吗?

    • 数据流的重复 – 除了 FEC 之外,该策略还可以在发生 FEC 无法补偿的更严重的损失时自动复制所选应用程序的流量。 在这种情况下,选定的数据将通过所有隧道传输到接收分支,并进行后续的重复数据删除(丢弃数据包的额外副本)。 该机制显着提高了信道利用率,同时也显着提高了传输可靠性。

思科 SD-WAN 功能,在 DMVPN/PfR 中没有直接类似功能

在某些情况下,思科 SD-WAN 解决方案的架构允许您获得在 DMVPN/PfR 中极难实现的功能,或者由于所需的劳动力成本而不切实际,或者完全不可能的功能。 让我们看看其中最有趣的:

流量工程 (TE)

TE 包括允许流量从路由协议形成的标准路径分支出来的机制。 TE 通常用于确保网络服务的高可用性,通过快速和/或主动地将关键流量传输到备用(不相交)传输路径的能力,以确保在发生故障时提供更好的服务质量或恢复速度在主要路径上。

TE实施的难点在于需要提前计算并预留(检查)替代路径。 在电信运营商的MPLS网络中,通过MPLS Traffic-Engineering等技术以及IGP协议和RSVP协议的扩展来解决这个问题。 最近,针对集中配置和编排更加优化的分段路由技术也变得越来越流行。 在经典的 WAN 网络中,这些技术通常不会被体现出来,或者被简化为使用逐跳机制,例如基于策略的路由 (PBR),这些机制能够对流量进行分支,但在每个路由器上单独实现这一点 - 无需采取任何措施。在先前或后续步骤中考虑网络或 PBR 结果的整体状态。 使用这些 TE 选项的结果是令人失望的 - 由于配置和操作的复杂性,MPLS TE 通常只在网络最关键的部分(核心)使用,而 PBR 则在单个路由器上使用,而无需能够为整个网络创建统一的策略路由策略。 显然,这也适用于基于 DMVPN 的网络。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

SD-WAN 在这方面提供了一种更加优雅的解决方案,不仅易于配置,而且可扩展性更好。 这是所使用的控制平面和策略平面架构的结果。 在 SD-WAN 中实施策略平面允许您集中定义 TE 策略 - 哪些流量感兴趣? 适用于哪些 VPN? 必须或禁止通过哪些节点/隧道形成替代路线? 反过来,基于 vSmart 控制器的控制平面管理集中化允许您修改路由结果,而无需求助于各个设备的设置 - 路由器已经只能看到在 vManage 界面中生成并传输以供使用的逻辑结果。智能。

服务链

与已经描述的流量工程机制相比,在经典路由中形成服务链是一项更加劳动密集型的任务。 事实上,在这种情况下,不仅需要为特定网络应用程序创建特殊路由,而且还需要确保能够从 SD-WAN 网络的某些(或所有)节点上的网络中移除流量,以供处理特殊应用程序或服务(防火墙、平衡、缓存、检查流量等)。 同时,需要能够控制这些外部服务的状态,以防止出现黑洞情况,并且还需要允许将此类相同类型的外部服务放置在不同地理位置的机制具有网络自动选择最优服务节点来处理特定分支流量的能力。 就思科 SD-WAN 而言,通过创建适当的集中式策略,将目标服务链的所有方面“粘合”成一个整体,并仅在以下情况下自动更改数据平面和控制平面逻辑,即可轻松实现这一目标:以及在必要时。

思科 SD-WAN 会切断 DMVPN 所在的分支吗?

在专用(但与 SD-WAN 网络本身无关)设备上按一定顺序对选定类型的应用程序的流量进行地理分布式处理的能力也许最清楚地展示了思科 SD-WAN 相对于传统网络的优势技术,甚至是其他制造商的一些替代 SD 解决方案 - WAN。

结果如何呢?

显然,DMVPN(带或不带性能路由)和 Cisco SD-WAN 最终解决非常相似的问题 与组织的分布式 WAN 网络相关。 同时,思科 SD-WAN 技术的显着架构和功能差异导致了解决这些问题的过程 达到另一个质量水平。 总而言之,我们可以注意到 SD-WAN 和 DMVPN/PfR 技术之间存在以下显着差异:

  • DMVPN/PfR 通常使用经过时间考验的技术来构建覆盖 VPN 网络,并且在数据平面方面与更现代的 SD-WAN 技术类似,但是,在强制静态配置方面存在许多限制路由器的数量和拓扑的选择仅限于 Hub-n-Spoke。 另一方面,DMVPN/PfR 具有 SD-WAN 中尚不可用的一些功能(我们正在讨论每应用程序 BFD)。
  • 在控制平面内,技术有根本的不同。 考虑到信令协议的集中处理,SD-WAN 特别允许显着缩小故障范围,并将用户流量传输过程与信令交互“解耦”——控制器暂时不可用不会影响传输用户流量的能力。 同时,任何一个分支(包括中央分支)的暂时不可用不会以任何方式影响其他分支之间以及控制器之间交互的能力。
  • SD-WAN 中流量管理策略的形成和应用的架构也优于 DMVPN/PfR - 地理预留实现得更好,没有到集线器的连接,有更多的机会进行精细化处理。 -调整策略,实施的流量管理场景列表也更大。
  • 解决方案编排过程也显着不同。 DMVPN 假设存在先前已知的参数,这些参数必须以某种方式反映在配置中,这在一定程度上限制了解决方案的灵活性和动态更改的可能性。 反过来,SD-WAN 基于这样的范例:在连接的初始时刻,路由器对其控制器“一无所知”,但知道“您可以询问谁” - 这不仅足以自动与控制器建立通信控制器,还可以自动形成完全连接的数据平面拓扑,然后可以使用策略灵活配置/更改。
  • 在集中管理、自动化和监控方面,SD-WAN有望超越DMVPN/PfR的能力,DMVPN/PfR是从经典技术发展而来,更加依赖CLI命令行和基于模板的NMS系统的使用。
  • 在SD-WAN中,与DMVPN相比,安全要求达到了不同的质量水平。 主要原则是零信任、可扩展性和双因素身份验证。

这些简单的结论可能会给人一种错误的印象,即创建基于 DMVPN/PfR 的网络在今天已经失去了所有相关性。 这当然不完全正确。 例如,在网络使用大量过时设备且无法更换的情况下,DMVPN 可以让您将“旧”和“新”设备组合到单个地理分布式网络中,并具有所述的许多优点多于。

另一方面,应该记住,目前所有基于 IOS XE(ISR 1000、ISR 4000、ASR 1000、CSR 1000v)的思科企业路由器都支持任何操作模式 - 经典路由以及 DMVPN 和 SD-WAN - 选择取决于当前的需求以及您随时可以使用相同的设备开始转向更先进的技术的理解。

来源: habr.com

添加评论