自2017年XNUMX月思科收購Viptela以來,組織分散式企業網路所提供的主要技術已成為 思科軟體定義廣域網。 過去3年,SD-WAN技術經歷了質與量的許多變化。 因此,功能得到了顯著擴展,並且該系列的經典路由器上出現了支持 思科 ISR 1000、ISR 4000、ASR 1000 與虛擬 CSR 1000v。 同時,許多思科客戶和合作夥伴仍然想知道: 思科 SD-WAN 與基於以下技術的已經熟悉的方法之間有什麼區別 思科DMVPN и 思科效能路由 這些差異有多重要?
這裡我們應該立即保留一點,在思科產品組合中的SD-WAN出現之前,DMVPN與PfR一起構成了架構中的關鍵部分 思科 IWAN(智慧廣域網路),這又是成熟的 SD-WAN 技術的前身。 儘管所解決的任務和解決方法總體相似,但 IWAN 從未達到 SD-WAN 所需的自動化、靈活性和可擴展性水平,而且隨著時間的推移,IWAN 的發展顯著下降。 同時,構成 IWAN 的技術並沒有消失,許多客戶繼續成功地使用它們,包括在現代設備上。 於是,一個有趣的情況出現了——同樣的思科設備允許您根據客戶的要求和期望選擇最合適的WAN技術(經典、DMVPN+PfR或SD-WAN)。
本文無意詳細分析思科 SD-WAN 和 DMVPN 技術的所有功能(有或沒有效能路由) - 有大量可用的文件和資料。 主要任務是嘗試評估這些技術之間的關鍵差異。 但在繼續討論這些差異之前,讓我們先簡單回顧一下這些技術本身。
什麼是 Cisco DMVPN?為什麼需要它?
思科 DMVPN 解決了使用任意類型的通訊通道(包括網際網路)時遠端分支網路與企業中央辦公室網路的動態(=可擴展)連線問題(=通訊通道加密)。 從技術上講,這是透過以點對多點模式創建具有「星」型(Hub-n-Spoke)邏輯拓撲的 L3 VPN 類虛擬化覆蓋網路來實現的。 為了實現這一目標,DMVPN 結合使用了以下技術:
- IP路由
- 多點 GRE 隧道 (mGRE)
- 下一跳解析協定 (NHRP)
- IPSec 加密設定檔
與使用 MPLS VPN 通道的經典路由相比,Cisco DMVPN 的主要優勢是什麼?
- 要建立分支機構間網絡,可以使用任何通訊通道 - 任何可以在分支機構之間提供 IP 連接的通道都是合適的,同時流量將被加密(如果需要)和平衡(如果可能)
- 自動形成分支之間的全連接拓撲。 在這種情況下,中心和遠端分支之間有靜態隧道,遠端分支之間按需有動態隧道(如果有流量)
- 中心和遠端分支的路由器在介面IP位址方面具有相同的配置。 透過使用mGRE,無需單獨配置數十、數百甚至數千條隧道。 因此,透過正確的設計可以實現良好的可擴展性。
什麼是思科效能路由以及為什麼需要它?
在分公司間網路上使用DMVPN 時,一個極其重要的問題仍未解決- 如何動態評估每個DMVPN 隧道的狀態,以符合對我們組織至關重要的流量要求,並再次基於這樣的評估,動態地制定重新路由的決定? 事實上,DMVPN 在這一部分與經典路由幾乎沒有什麼不同 - 最好的方法是配置 QoS 機制,該機制將允許您在傳出方向上確定流量的優先級,但絕不能夠考慮網路的狀態一次或另一次整個路徑。
如果通道部分降級而不是完全降級該怎麼辦 - 如何檢測和評估? DMVPN 本身無法做到這一點。 考慮到連接分支機構的通道可以透過完全不同的電信營運商,使用完全不同的技術,這項任務變得極為重要。 這就是思科效能路由技術的用武之地,當時該技術已經經歷了幾個發展階段。
思科效能路由(以下簡稱 PfR)的任務歸結為根據對網路應用程式重要的關鍵指標來測量流量路徑(隧道)的狀態 - 延遲、延遲變化(抖動)和資料包遺失(百分比)。 此外,還可以測量所使用的頻寬。 這些測量盡可能接近即時且合理地發生,而這些測量的結果允許使用 PfR 的路由器動態地做出關於是否需要更改這種或那種類型流量的路由的決策。
因此,DMVPN/PfR組合的任務可以簡單描述如下:
- 允許客戶使用 WAN 網路上的任何通訊通道
- 確保這些管道上關鍵應用程式的最高品質
什麼是思科 SD-WAN?
思科 SD-WAN 是一種使用 SDN 方法建立和營運組織的 WAN 網路的技術。 這尤其意味著使用所謂的控制器(軟體元素),它提供所有解決方案元件的集中編排和自動配置。 與規範的 SDN(Clean Slate 風格)不同,思科 SD-WAN 使用多種類型的控制器,每個控制器都執行自己的角色 - 這樣做是為了提供更好的可擴展性和地理冗餘。
就SD-WAN而言,使用任何類型的通道並確保業務應用程式運行的任務保持不變,但同時對此類網路的自動化、可擴展性、安全性和靈活性的要求不斷擴大。
差異討論
如果我們現在開始分析這些技術之間的差異,它們將屬於以下類別之一:
- 架構差異 - 功能如何分佈在解決方案的各個元件中,如何組織這些元件的交互,以及這如何影響技術的功能和靈活性?
- 功能性-一項技術可以做什麼而另一種技術卻不能? 這真的那麼重要嗎?
架構上的差異是什麼?它們重要嗎?
這些技術中的每一種都有許多“移動部件”,這些部件不僅在它們的作用上有所不同,而且在它們之間的交互方式上也有所不同。 這些原則的考慮程度以及解決方案的一般機制直接決定了其可擴展性、容錯性和整體效率。
讓我們更詳細地看看該架構的各個方面:
數據平面 – 解決方案的一部分,負責在來源和接收者之間傳輸使用者流量。 DMVPN 和 SD-WAN 在基於多點 GRE 隧道的路由器本身上的實作通常相同。 不同之處在於這些隧道的必要參數集是如何形成的:
- в DMVPN/PfR 是具有星形或星形拓樸結構的專有兩級節點層次結構。 需要Hub的靜態配置和Spoke到Hub的靜態綁定,以及透過NHRP協定進行交互以形成資料平面連接。 最後, 讓 Hub 的更改變得更加困難例如,與更改/連接新的 WAN 通道或更改現有通道的參數相關。
- в 廣域網 是一個完全動態模型,用於基於控制平面(OMP 協定)和編排平面(與 vBond 控制器互動以進行控制器偵測和 NAT 遍歷任務)來偵測已安裝隧道的參數。 在這種情況下,可以使用任何疊加的拓撲,包括分層拓撲。 在已建立的覆蓋隧道拓撲內,可以靈活配置每個 VPN(VRF) 中的邏輯拓撲。
控制平面 – 解決方案元件之間交換、過濾和修改路由及其他資訊的功能。
- в DMVPN/PfR – 僅在集線器和分支路由器之間執行。 分支之間不可能直接交換路由資訊。 最後, 如果沒有正常運作的集線器,控制平面和資料平面就無法運作,這對集線器提出了額外的高可用性要求,而這些要求並不總是能夠滿足。
- в 廣域網 – 控制平面永遠不會在路由器之間直接進行– 交互發生在OMP 協議的基礎上,並且必須通過單獨的專門類型的vSmart 控制器來執行,該控制器提供了平衡、地理預留和集中控制的可能性訊號負載。 OMP 協定的另一個特點是它具有顯著的抗丟失能力,並且獨立於與控制器的通訊通道的速度(當然,在合理的範圍內)。 同樣成功地允許您將 SD-WAN 控制器放置在公有雲或私有雲中,並透過網際網路存取。
政策層面 – 解決方案的一部分,負責在分散式網路上定義、分發和應用流量管理策略。
- DMVPN – 受到透過 CLI 或 Prime 基礎架構範本在每個路由器上單獨設定的服務品質 (QoS) 策略的有效限制。
- DMVPN/PfR – PfR 策略透過 CLI 在集中式主控制器 (MC) 路由器上形成,然後自動分發到分支 MC。 在這種情況下,使用與資料平面相同的策略傳輸路徑。 不可能將策略、路由資訊和使用者資料的交換分開。 策略傳播需要 Hub 和 Spoke 之間存在 IP 連線。 在這種情況下,如果需要,MC功能可以與DMVPN路由器結合使用。 可以(但不是必要)使用 Prime 基礎架構範本進行集中策略產生。 一個重要的特點是,策略是在整個網路中以相同的方式在全球範圍內形成的 - 不支持針對各個細分市場的單獨策略.
- 廣域網 – 流量管理和服務品質策略透過 Cisco vManage 圖形介面集中確定,也可透過網際網路存取(如有需要)。 它們直接透過訊號通道進行分發,或透過 vSmart 控制器間接進行分發(取決於策略的類型)。 它們不依賴路由器之間的資料平面連接,因為使用控制器和路由器之間的所有可用流量路徑。
針對不同的網段,可以靈活制定不同的策略—策略的範圍由解決方案中提供的許多唯一識別碼決定—分支編號、應用類型、流量方向等。
編排平面 – 讓元件動態偵測彼此、配置和協調後續互動的機制。
- в DMVPN/PfR 路由器之間的相互發現是基於Hub設備的靜態配置和Spoke設備的相應配置。 動態發現僅針對 Spoke 進行,它將其 Hub 連接參數報告給設備,而設備又由 Spoke 進行預先配置。 如果 Spoke 和至少一個 Hub 之間沒有 IP 連接,就不可能形成資料平面或控制平面。
- в 廣域網 解決方案元件的編排使用 vBond 控制器進行,每個元件(路由器和 vManage/vSmart 控制器)必須先與該控制器建立 IP 連線。
最初,元件不知道彼此的連接參數 - 為此它們需要 vBond 中間協調器。 總體原理如下 - 每個組件在初始階段僅學習(自動或靜態)到 vBond 的連接參數,然後 vBond 通知路由器有關 vManage 和 vSmart 控制器(之前發現)的信息,這使得自動建立連接成為可能所有必要的信令連接。
下一步是讓新路由器透過 OMP 與 vSmart 控制器通訊來了解網路上的其他路由器。 因此,路由器在最初不知道任何有關網路參數的情況下,能夠全自動偵測並連接到控制器,然後也自動偵測並與其他路由器形成連線。 在這種情況下,所有組件的連接參數最初都是未知的,並且可能在操作過程中發生變化。
管理平面 – 提供集中管理和監控的解決方案的一部分。
- DMVPN/PfR – 沒有提供專門的管理平面解決方案。 對於基本的自動化和監控,可以使用 Cisco Prime 基礎架構等產品。 每個路由器都可以透過 CLI 命令列進行控制。 不提供透過 API 與外部系統的整合。
- 廣域網 – 所有常規互動和監控均透過 vManage 控制器的圖形介面集中進行。 此解決方案的所有功能無一例外都可透過 vManage 以及完整記錄的 REST API 庫進行設定。
vManage 中的所有 SD-WAN 網路設定都歸結為兩個主要構造 - 設備模板 (Device Template) 的形成以及確定網路操作和流量處理邏輯的策略的形成。 同時,vManage 廣播管理員產生的策略,自動選擇需要進行哪些更改以及需要在哪些單獨設備/控制器上進行更改,這顯著提高了解決方案的效率和可擴展性。
透過 vManage 介面,不僅可以設定 Cisco SD-WAN 解決方案,還可以全面監控解決方案所有元件的狀態,直到各個隧道指標的當前狀態以及各種應用程式使用情況的統計資料基於 DPI 分析。
儘管交互集中化,所有元件(控制器和路由器)還具有功能齊全的 CLI 命令列,這在實施階段或緊急情況下進行本地診斷是必需的。 在路由器上的正常模式下(如果元件之間存在信令通道),命令列僅可用於診斷,不可用於進行本地更改,這保證了本地安全,並且此類網路中唯一的更改來源是 vManage。
綜合安全 – 這裡我們不僅討論透過開放通道傳輸的使用者資料的保護,還討論基於所選技術的 WAN 網路的整體安全性。
- в DMVPN/PfR 可以對用戶資料和信令協定進行加密。 使用某些路由器型號時,也可以使用具有流量檢查、IPS/IDS 的防火牆功能。 可以使用 VRF 對分支網路進行分段。 可以驗證(單一因素)控制協議。
在這種情況下,遠端路由器預設被視為網路的可信任元素 - 即沒有假設或考慮單一設備的物理損壞以及未經授權存取它們的可能性;解決方案組件沒有雙重認證,這在地理分佈式網路的情況下 可能會帶來重大的額外風險。
- в 廣域網 與DMVPN 類比,提供了加密用戶資料的能力,但顯著擴展了網路安全性和L3/VRF 分段功能(防火牆、IPS/IDS、URL 過濾、DNS 過濾、AMP/TG、SASE、TLS/SSL 代理、等)d.)。 同時,加密金鑰的交換透過 vSmart 控制器(而非直接)透過基於安全性憑證的 DTLS/TLS 加密保護的預先建立的訊號通道更有效地進行。 這反過來又保證了此類交換的安全性,並確保解決方案具有更好的可擴展性,最多可容納同一網路上的數萬台設備。
所有訊號連線(控制器到控制器、控制器到路由器)也基於 DTLS/TLS 受到保護。 路由器在生產過程中配備了安全證書,並且可以更換/擴展。 雙重認證是透過強制同時滿足路由器/控制器在 SD-WAN 網路中運行的兩個條件來實現的:
- 有效的安全證書
- 管理員明確且有意識地將每個組件包含在允許設備的“白”列表中。
SD-WAN 與 DMVPN/PfR 之間的功能差異
繼續討論功能差異,應該指出的是,其中許多差異是架構差異的延續 - 眾所周知,在形成解決方案的架構時,開發人員從他們最終想要獲得的功能開始。 讓我們看看這兩種技術之間最顯著的差異。
AppQ(應用程式品質)-保證業務應用流量傳輸品質的功能
正在考慮的技術的關鍵功能旨在盡可能改善在分散式網路中使用關鍵業務應用程式時的使用者體驗。 這在部分基礎設施不受 IT 控製或甚至無法保證資料成功傳輸的情況下尤其重要。
DMVPN 本身並未提供此類機制。 在經典 DMVPN 網路中可以做的最好的事情是按應用程式對傳出流量進行分類,並在傳輸到 WAN 通道時對其進行優先排序。 在這種情況下,DMVPN 隧道的選擇僅取決於其可用性和路由協定的運作結果。 同時,在對網路應用而言重要的關鍵指標-延遲、延遲變化(抖動)和損耗(%)方面,沒有考慮路徑/隧道的端到端狀態及其可能的部分降級。 )。 就此而言,直接將經典DMVPN與SD-WAN在解決AppQ問題方面進行比較就失去了一切意義——DMVPN無法解決這個問題。 當您將思科效能路由 (PfR) 技術新增至這種環境時,情況就會發生變化,與思科 SD-WAN 的比較變得更有意義。
在我們討論差異之前,先快速瀏覽一下這些技術的相似之處。 因此,這兩種技術:
- 擁有一種機制,可讓您根據某些指標動態評估每個已建立隧道的狀態 - 至少包括延遲、延遲變化和封包遺失 (%)
- 使用一組特定的工具來形成、分發和應用流量管理規則(策略),同時考慮關鍵隧道指標狀態的測量結果。
- 在 OSI 模型的 L3-L4 (DSCP) 層級或基於路由器內建的 DPI 機制透過 L7 應用程式簽章對應用程式流量進行分類
- 對於重要的應用程序,它們允許您確定可接受的指標閾值、預設傳輸流量的規則以及超過閾值時重新路由流量的規則。
- 當以 GRE/IPSec 封裝流量時,他們使用已建立的行業機制將內部 DSCP 標記傳輸到外部 GRE/IPSEC 封包標頭,這允許同步組織和電信業者的 QoS 策略(如果有適當的 SLA) 。
SD-WAN 和 DMVPN/PfR 端對端指標有何不同?
DMVPN/PfR
- 主動和被動軟體感測器(探針)都用於評估標準隧道健康指標。 主動式基於用戶流量,被動式模擬此類流量(如果沒有)。
- 沒有對計時器和退化檢測條件進行微調——演算法是固定的。
- 此外,還可以測量出站方向的已使用頻寬。 這為 DMVPN/PfR 增加了額外的流量管理彈性。
- 同時,一些 PfR 機制在超過指標時依賴特殊 TCA(閾值交叉警報)訊息形式的回饋訊號,這些訊息必須從流量接收方傳送到源頭,而源頭假設流量的狀態測量的通道應至少足以傳輸此類TCA 訊息。 這在大多數情況下不是問題,但顯然不能保證。
廣域網
- 對於標準隧道狀態測量的端對端評估,在回顯模式下使用 BFD 協定。 在這種情況下,不需要 TCA 或類似訊息形式的特殊回饋 - 保持故障域的隔離。 它也不需要存在使用者流量來評估隧道狀態。
- 可以微調 BFD 計時器,以調節演算法對通訊通道退化的響應速度和靈敏度,從幾秒到幾分鐘。
- 截至撰寫本文時,每個隧道中只有一個 BFD 會話。 這可能會降低隧道狀態分析的粒度。 實際上,只有當您使用基於 MPLS L2/L3 VPN 且具有商定的 QoS SLA 的 WAN 連線時,這才會成為限制 - 如果 BFD 流量的 DSCP 標記(在 IPSec/GRE 中封裝後)與電信業者的網絡,則可能會影響低優先級流量降級檢測的準確性和速度。 同時,可以變更預設的 BFD 標籤以降低發生此類情況的風險。 在思科 SD-WAN 軟體的未來版本中,預計會有更多微調的 BFD 設置,並且能夠使用單獨的 DSCP 值(針對不同的應用程式)在同一隧道內啟動多個 BFD 會話。
- BFD 還允許您估計可以透過特定隧道傳輸且不分段的最大資料包大小。 這允許 SD-WAN 動態調整 MTU 和 TCP MSS 調整等參數,以充分利用每個鏈路上的可用頻寬。
- 在SD-WAN中,還可以選擇電信業者的QoS同步選項,不僅基於L3 DSCP字段,還基於L2 CoS值,這些值可以由專用設備在分支網路中自動產生 - 例如IP電話
定義和應用 AppQ 策略的功能、方法有何不同?
DMVPN/PfR 政策:
- 透過 CLI 命令列或 CLI 設定範本在中央分支路由器上定義。 產生 CLI 範本需要準備和了解策略語法。
- 全域定義 無法根據各個網段的要求進行單獨配置/更改。
- 圖形介面中不提供互動式策略產生。
- 不提供追蹤變更、繼承以及建立多個版本的策略以進行快速切換。
- 自動分發到遠端分支機構的路由器。 在這種情況下,使用與發送使用者資料相同的通訊頻道。 如果中央和遠端分支之間沒有通訊通道,則不可能分發/更改策略。
- 它們在每個路由器上使用,並在必要時修改標準路由協定的結果,具有更高的優先權。
- 對於所有分公司 WAN 連結都出現嚴重流量遺失的情況, 沒有提供補償機制.
SD-WAN 政策:
- 透過互動式範本精靈在 vManage GUI 中定義。
- 支援建立多個策略,並支援策略之間的即時複製、繼承、切換。
- 支援不同網段(分支)單獨的策略設置
- 它們使用控制器和路由器和/或 vSmart 之間的任何可用訊號通道進行分發 - 不直接依賴路由器之間的資料平面連接。 當然,這需要路由器本身和控制器之間有 IP 連線。
- 對於當分支的所有可用分支都經歷超過關鍵應用程式可接受閾值的嚴重資料遺失的情況,可以使用額外的機制來提高傳輸可靠性:
- FEC(前向糾錯) – 使用特殊的冗餘編碼演算法。 當透過遺失率較高的通道傳輸關鍵流量時,FEC 可以自動激活,並在必要時允許恢復遺失的資料部分。 這稍微增加了所使用的傳輸頻寬,但顯著提高了可靠性。
- 資料流的重複 – 除了 FEC 之外,該策略還可以在發生 FEC 無法補償的更嚴重的損失時自動複製所選應用程式的流量。 在這種情況下,選定的資料將透過所有隧道傳輸到接收分支,並進行後續的重複資料刪除(丟棄資料包的額外副本)。 此機制顯著提高了通道利用率,同時也顯著提高了傳輸可靠性。
- FEC(前向糾錯) – 使用特殊的冗餘編碼演算法。 當透過遺失率較高的通道傳輸關鍵流量時,FEC 可以自動激活,並在必要時允許恢復遺失的資料部分。 這稍微增加了所使用的傳輸頻寬,但顯著提高了可靠性。
思科 SD-WAN 功能,在 DMVPN/PfR 中沒有直接類似功能
在某些情況下,思科 SD-WAN 解決方案的架構可讓您獲得在 DMVPN/PfR 中極難實現的功能,或由於所需的勞動成本而不切實際,或完全不可能的功能。 讓我們看看其中最有趣的:
流量工程 (TE)
TE 包括允許流量從路由協定形成的標準路徑分支出來的機制。 TE 通常用於確保網路服務的高可用性,透過快速和/或主動地將關鍵流量傳輸到備用(不相交)傳輸路徑的能力,以確保在發生故障時提供更好的服務品質或恢復速度在主要路徑上。
TE實施的困難在於需要事先計算並預留(檢查)替代路徑。 在電信業者的MPLS網路中,透過MPLS Traffic-Engineering等技術以及IGP協定和RSVP協定的擴展來解決這個問題。 最近,針對集中配置和編排更加最佳化的分段路由技術也變得越來越流行。 在經典的WAN 網路中,這些技術通常不會被體現出來,或者被簡化為使用逐跳機制,例如基於策略的路由(PBR),這些機制能夠對流量進行分支,但在每個路由器上單獨實現這一點- 無需採取任何措施。在先前或後續步驟中考慮網路或 PBR 結果的整體狀態。 使用這些 TE 選項的結果是令人失望的 - 由於配置和操作的複雜性,MPLS TE 通常只在網絡最關鍵的部分(核心)使用,而 PBR 則在單個路由器上使用,而無需能夠為整個網絡建立統一的策略路由策略。 顯然,這也適用於基於 DMVPN 的網路。
SD-WAN 在這方面提供了更優雅的解決方案,不僅易於配置,而且可擴展性更好。 這是所使用的控制平面和策略平面架構的結果。 在 SD-WAN 中實施策略平面可讓您集中定義 TE 策略 - 哪些流量感興趣? 適用於哪些 VPN? 必須或禁止通過哪些節點/隧道形成替代路線? 反過來,基於 vSmart 控制器的控制平面管理集中化允許您修改路由結果,而無需求助於各個設備的設定 - 路由器已經只能看到在 vManage 介面中生成並傳輸以供使用的邏輯結果。智慧。
服務鏈
與已經描述的流量工程機制相比,在經典路由中形成服務鍊是一項更勞力密集的任務。 事實上,在這種情況下,不僅需要為特定網路應用程式建立特殊路由,還需要確保能夠從 SD-WAN 網路的某些(或全部)節點上的網路中移除流量,以供處理特殊應用程式或服務(防火牆、平衡、快取、檢查流量等)。 同時,需要能夠控制這些外部服務的狀態,以防止出現黑洞情況,並且還需要允許將此類相同類型的外部服務放置在不同地理位置的機制具有網路自動選擇最優服務節點來處理特定分支流量的能力。 就思科SD-WAN 而言,這很容易實現,只需建立適當的集中式策略,將目標服務鏈的所有方面「黏合」成一個整體,並僅在以下情況下自動變更資料平面和控制平面邏輯:以及在必要時。
在專用(但與 SD-WAN 網路本身無關)設備上按一定順序對選定類型的應用程式的流量進行地理分散式處理的能力也許最清楚地展示了思科 SD-WAN 相對於傳統網路的優勢技術,甚至是其他製造商的一些替代SD 解決方案- WAN。
結果如何呢?
顯然,DMVPN(有或沒有效能路由)和 Cisco SD-WAN 最終解決非常相似的問題 與組織的分散式 WAN 網路相關。 同時,思科 SD-WAN 技術的顯著架構和功能差異導致了解決這些問題的過程 達到另一個品質水平。 總而言之,我們可以注意到 SD-WAN 和 DMVPN/PfR 技術之間存在以下顯著差異:
- DMVPN/PfR 通常使用經過時間考驗的技術來建立覆蓋 VPN 網絡,並且在資料平面方面與更現代的 SD-WAN 技術類似,但是,在強制靜態配置方面存在許多限制路由器的數量和拓撲的選擇僅限於Hub-n-Spoke。 另一方面,DMVPN/PfR 具有 SD-WAN 中尚不可用的一些功能(我們正在討論每個應用程式 BFD)。
- 在控制平面內,技術有根本的不同。 考慮到訊號協定的集中處理,SD-WAN 特別允許大幅縮小故障範圍,並將使用者流量傳輸過程與訊號交互「解耦」——控制器暫時不可用不會影響傳輸用戶流量的能力。 同時,任何一個分支(包括中央分支)的暫時無法使用不會以任何方式影響其他分支之間以及控制器之間互動的能力。
- SD-WAN 中流量管理策略的形成和應用的架構也優於 DMVPN/PfR - 地理預留實現得更好,沒有到集線器的連接,有更多的機會進行精細化處理。- 調整策略,實施的流量管理場景清單也更大。
- 解決方案編排過程也顯著不同。 DMVPN 假設存在先前已知的參數,這些參數必須以某種方式反映在組態中,這在一定程度上限制了解決方案的靈活性和動態變更的可能性。 反過來,SD-WAN 基於這樣的範例:在連接的初始時刻,路由器對其控制器“一無所知”,但知道“您可以詢問誰” - 這不僅足以自動與控制器建立通信控制器,還可以自動形成完全連接的資料平面拓撲,然後可以使用策略靈活配置/變更。
- 在集中管理、自動化和監控方面,SD-WAN有望超越DMVPN/PfR的能力,DMVPN/PfR是從經典技術發展而來,更加依賴CLI命令列和基於模板的NMS系統的使用。
- 在SD-WAN中,與DMVPN相比,安全要求達到了不同的品質等級。 主要原則是零信任、可擴展性和雙重認證。
這些簡單的結論可能會給人一種錯誤的印象,即創建基於 DMVPN/PfR 的網路在今天已經失去了所有相關性。 這當然不完全正確。 例如,在網路使用大量過時設備且無法更換的情況下,DMVPN 可讓您將「舊」和「新」設備組合到單一地理分散式網路中,並具有所述的許多優點多於。
另一方面,應該記住,目前所有基於 IOS XE(ISR 1000、ISR 4000、ASR 1000、CSR 1000v)的思科企業路由器都支援任何操作模式 - 經典路由以及 DMVPN 和 SD-WAN - 選擇取決於當前的需求以及您隨時可以使用相同設備開始轉向更先進技術的理解。
來源: www.habr.com