Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Чи відріже Cisco SD-WAN гілку, на якій сидить DMVPN?

2020-08-21
Автор: Телесфера

З серпня 2017 року, коли компанія Cisco придбала компанію Viptela, основною пропонованою технологією організації розподілених корпоративних мереж стала Cisco SD-WAN. За минулі 3 роки SD-WAN технологія пройшла безліч змін, як якісного, так і кількісного характеру. Так значно розширилися функціональні можливості і з'явилася підтримка на класичних маршрутизаторах серій Cisco ISR 1000, ISR 4000, ASR 1000 і віртуального CSR 1000v. У той же час багато замовників і партнери Cisco продовжують шукати відповіді на запитання - в чому полягають відмінності Cisco SD-WAN від уже звичних підходів на базі таких технологій, як Cisco DMVPN і Cisco Performance Routing і наскільки ці відмінності важливі?

Тут відразу варто зробити застереження, що до появи SD-WAN в портфоліо Cisco, DMVPN спільно з PfR становили ключову частину в архітектурі Cisco IWAN (Intelligent WAN), яка в свою чергу була попередником повноцінної SD-WAN технології. При загальній схожості, як самих вирішуваних завдань, так і способів їх вирішення, IWAN так і не отримав необхідного для SD-WAN рівня автоматизації, гнучкості і масштабованості і з часом розвиток IWAN значно знизився. У той же час самі технології, які складали IWAN, нікуди не поділися, і багато замовників продовжують їх успішно використовувати в тому числі на сучасному обладнанні. В результаті склалася цікава ситуація - одне і те ж обладнання Cisco дозволяє вибрати найбільш підходящу технологію побудови WAN (класичну, DMVPN + PfR або SD-WAN) відповідно до вимог і очікувань замовників.

Стаття не передбачає детально розбирати всі особливості технологій Cisco SD-WAN і DMVPN (спільно або без Performance Routing) - для цього є величезна кількість доступних документів і матеріалів. Основне завдання - постаратися оцінити ключові відмінності цих технологій. Але все ж перш, ніж перейти до обговорення цих відмінностей, коротко нагадаємо про самі технології.

Що таке Cisco DMVPN і навіщо він потрібен?

Cisco DMVPN вирішує завдання динамічного (= маштабованого) підключення мережі віддаленої філії до мережі центрального офісу підприємства при використанні довільних типів каналів зв'язку в тому числі Інтернет (= з шифруванням каналу зв'язку). Технічно це реалізується створенням віртуалізованої накладеної мережі класу L3 VPN в режимі точка - багато точка (point-to-multipoint) з логічною топологією типу «Зірка» (Hub-n-Spoke). Для цього DMVPN використовує комбінацію наступних технологій:

  • IP маршрутизація
  • Multipoint GRE тунелі (mGRE)
  • Next Hop Resolution Protocol (NHRP)
  • IPSec Crypto профілі

У чому основні переваги Cisco DMVPN в порівнянні з класичною маршрутизацією з використанням MPLS VPN каналів?

  • Для створення міжфілійної мережі можливо використовувати будь-які канали зв'язку - підходить все, що здатне забезпечити IP-зв'язність між філіями, при цьому трафік буде і шифруватися (де треба) і збалансовуватися (де можливо)
  • Автоматично формується повно зв'язкова топологія між філіями. При цьому між центральним і віддаленим філіями - статичні тунелі, а між віддаленими філіями - динамічні тунелі на вимогу (при наявності трафіку)
  • На маршрутизаторах центральної і віддаленої філії одноманітна конфігурація з точністю до IP-адрес інтерфейсів. За рахунок використання mGRE немає необхідності в індивідуальній настройці десятків, сотень або навіть тисяч тунелів. Як наслідок, гідна масштабованість при правильному дизайні.

Що таке Cisco Performance Routing і навіщо він потрібен?

При використанні DMVPN на міжфілійній мережі залишається невирішеним одне вкрай важливе питання - як динамічно оцінити стан кожного з DMVPN тунелів на предмет відповідності вимогам критичного для нашої організації трафіку і знову ж на основі такої оцінки динамічно приймати рішення про перемаршрутізацію? Справа в тому, що DMVPN в цій частині небагато чим відрізняється від класичної маршрутизації - краще, що можна зробити, це налаштувати механізми QoS, які дозволять пріоритезувати трафік в вихідному напрямку, але ніяк не здатні враховувати стан всього шляху в той чи інший момент часу.

І що робити, якщо канал деградує частково, а не повністю - як це виявити і оцінити? DMVPN сам по собі цього не вміє. З огляду на те, що канали, які зв'язують філії, можуть проходити через абсолютно різні оператори зв'язку, використовуючи зовсім різні технології, то це завдання стає вкрай нетривіальним. І ось тут на допомогу приходить технологія Cisco Performance Routing, яка на той час вже пройшла кілька стадій розвитку.

Завдання Cisco Performance Routing (далі PfR) зводиться до вимірювання стану шляхів (тунелів) проходження трафіку на основі ключових метрик, важливих для мережевих додатків - затримка, варіація затримки (джиттер) і втрати пакетів (у відсотках). Додатково може вимірюватися використовувана смуга пропускання. Ці виміри відбуваються максимально близько до реального часу (наскільки це можливо і виправдано) і результат цих вимірів дозволяє маршрутизатору, який використовує PfR, динамічно приймати рішення про необхідність зміни маршрутизації того чи іншого виду трафіку.

Таким чином завдання комбінації DMVPN/PfR можна коротко охарактеризувати наступним чином:

  • Дозволити замовнику використовувати на WAN мережі будь-які канали зв'язку
  • Забезпечити максимально можливу якість важливих додатків на цих каналах

Що таке Cisco SD-WAN?

Cisco SD-WAN - це технологія, яка використовує SDN підхід для створення і експлуатації WAN мережі організації. Це зокрема означає використання так званих контролерів (програмних елементів), які забезпечують централізовану оркестрацію і автоматизовану настройку всіх компонентів рішення. На відміну від канонічного SDN (в стилі Clean Slate) в Cisco SD-WAN використовується відразу кілька типів контролерів, кожен з яких виконує свою роль - це зроблено навмисно з метою забезпечити кращу масштабованість і гео-резервування.

У разі SD-WAN завдання використання будь-яких типів каналів і забезпечення роботи бізнес-додатків зберігається, але при цьому розширюються вимоги до автоматизації, масштабування, безпеки і гнучкості такої мережі.

Обговорення відмінностей

Якщо тепер почати аналізувати відмінності цих технологій, то вони будуть потрапляти в одну з категорій:

  • Архітектурні відмінності - як розподілені функції по різних компонентах рішення, як організовано взаємодію таких компонентів і як це впливає на можливості і гнучкість технології?
  • Функціональні можливості - що такого може одна технологія, чого не може інша? І чи так це важливо?

З чого складаються архітектурні відмінності і чи так вони важливі?

У кожній із зазначених технологій є безліч «рухомих частин», у яких відрізняється не тільки роль, але і принципи взаємодії один з одним. Від того, наскільки продумані ці принципи, і загальна механіка рішення безпосередньо залежить його масштабованість, відмовостійкість і загальна ефективність.

Розглянемо різні аспекти архітектури більш докладно:

Data-plane - частина рішення, яке відповідає за передачу призначеного для користувача трафіку між джерелом і одержувачем. У DMVPN і SD-WAN реалізується в цілому однаково на самих маршрутизаторах на базі Multipoint GRE тунелів. Різниця в тому, за рахунок чого формується необхідний набір параметрів цих тунелів:

  • в DMVPN/PfR - це виключно дворівнева ієрархія вузлів з топологією типу «Зірка» або Hub-n-Spoke. Обов'язкова статична настройка Hub і статична прив'язка Spoke до Hub, а також взаємодія з протоколу NHRP для формування data-plane зв'язності. Як наслідок, значно ускладнені зміни на Hub, пов'язані, наприклад зі зміною/підключенням нових WAN-каналів або зміни параметрів існуючих.
  • в SD-WAN - це повністю динамічна модель виявлення параметрів встановлюючихся тунелів з опорою на control-plane (протокол OMP) і orchestration-plane (взаємодія з контролером vBond для задач виявлення контролерів і NAT traversal). При цьому накладені топології можуть бути будь-які, в тому числі ієрархічні. В рамках встановленої накладеної топології тунелів можлива гнучка настройка логічної топології в кожному окремому VPN (VRF).

Control-plane - функції обміну, фільтрації і модифікації маршрутної та іншої інформації між компонентами рішення.

  • в DMVPN/PfR - здійснюється тільки між маршрутизаторами Hub і Spoke. Прямий обмін маршрутною інформацією між Spoke неможливий. Як наслідок, без чинного Hub неможливе функціонування control-plane і data-plane, що накладає на Hub додаткові вимоги щодо високої доступності, які не завжди можуть бути виконані.
  • в SD-WAN - control-plane ніколи не здійснюється безпосередньо між маршрутизаторами - взаємодія відбувається на основі протоколу OMP і обов'язково здійснюється через окремий спеціалізований тип контролера vSmart, що забезпечує можливість балансування, гео-резервування і централізованого управління сигнальним навантаженням. Іншою особливістю OMP протоколу є його значна стійкість до втрат і незалежність від швидкості каналу зв'язку з контролерами (в розумних межах, звичайно). Що однаково успішно дозволяє розміщувати контролери SD-WAN в державних або приватних хмарах з доступом через Інтернет.

Policy-plane - частина рішення відповідає за визначення, поширення і застосування політик управління трафіком на розподіленій мережі.

  • DMVPN - фактично обмежено політиками якості обслуговування (QoS), налаштованими індивідуально для кожного маршрутизатора через CLI або шаблони Prime Infrastructure.
  • DMVPN/PfR - політики PfR формуються на централізованому маршрутизаторі Master Controller (MC) через CLI і далі автоматично поширюються в філіальні MC. При цьому використовуються ті ж шляхи передачі політик, що і для data-plane. Можливості рознести обмін політиками, маршрутною інформацією і даними користувачів немає. Поширення політик передбачає обов'язкову наявність IP-зв'язності між Hub і Spoke. При цьому функція MC може бути при необхідності поєднана з DMVPN маршрутизатором. Можливо (але не вимагається) використання шаблонів Prime Infrastructure для централізованого формування політик. Важлива особливість - політика формується глобально на всій мережі однаково - індивідуальні політики для окремих сегментів не підтримуються.
  • SD-WAN - політики управління трафіком і якістю обслуговування визначаються централізовано через графічний інтерфейс Cisco vManage доступний в тому числі і через Інтернет (при необхідності). Поширюються по сигнальним каналам безпосередньо або опосередковано через контролери vSmart (залежить від типу політики). Не залежать від data-plane зв'язності між маршрутизаторами, оскільки використовують всі доступні шляхи передачі трафіку між контролером і маршрутизатором.

Для різних сегментів мережі можливо гнучке формування різних політик - сфера застосування політики визначається безліччю унікальних ідентифікаторів, передбачених в рішенні - номер філії, тип програми, напрям руху трафіку і т.д.

Orchestration-plane - механізми, які дозволяють компонентам динамічно виявити один одного, налаштувати і координувати подальшу взаємодія.

  • в DMVPN/PfR взаємне виявлення маршрутизаторами засноване на статичній конфігурації Hub пристроїв і відповідній настройці Spoke пристроїв. Динамічне виявлення відбувається тільки для Spoke, який повідомляє про свої параметри з'єднання Hub пристрою, яке в свою чергу заздалегідь внесено в конфігурацію Spoke. Без IP-зв'язності Spoke з хоча б одним Hub неможливо сформувати ні data-plane, ні control-plane.
  • в SD-WAN оркестрації компонентів рішення відбувається з використанням контролера vBond, з яким кожному компоненту (маршрутизаторам і контролерам vManage/vSmart) необхідно попередньо встановити IP-зв'язність.

Спочатку компоненти не знають про параметри підключення один одного - для цього їм необхідний посередник-оркестратор vBond. Загальний принцип наступний - кожен компонент в початковій фазі дізнається (автоматично або статично) тільки про параметри підключення до vBond, далі vBond повідомляє маршрутизатору про контролери vManage і vSmart (виявлені раніше), що робить можливим автоматичне встановлення всіх необхідних сигнальних зв'язків.

Наступним кроком новий маршрутизатор дізнається про інші маршрутизатори в мережі через OMP-обмін з контролером vSmart. Таким чином маршрутизатор, не знаючи спочатку про параметри мережі взагалі нічого, здатний повністю автоматично виявити і підключитися до контролерів і потім також автоматично виявити і сформувати зв'язність з іншими маршрутизаторами. При цьому параметри підключень всіх компонентів спочатку невідомі і в процесі експлуатації можуть змінюватися.

Management-plane - частина рішення, що забезпечує централізоване управління і моніторинг.

  • DMVPN/PfR - спеціалізованого management-plane рішення не передбачено. Для базової автоматизації та моніторингу можливе використання таких продуктів, як Cisco Prime Infrastructure. Кожен маршрутизатор має можливість управління через командний рядок CLI. Інтеграції з зовнішніми системами через API не передбачено.
  • SD-WAN - вся штатна взаємодія і моніторинг здійснюється централізовано через графічний інтерфейс контролера vManage. Всі можливості вирішення без винятку доступні до налаштування через vManage, а також через повністю документовану бібліотеку програмного інтерфейсу REST API.

Всі настройки SD-WAN мережі в vManage зводяться до двох основних конструктів - формування шаблонів пристроїв (Device Template) і формування політики, яка визначає логіку роботи мережі і обробки трафіку. При цьому vManage, транслюючи сформовану адміністратором політику, автоматично вибирає які зміни і на яких індивідуальних пристроях/контролерах необхідно провести, що значно підвищує ефективність і масштабованість рішення.

Через інтерфейс vManage доступна не тільки настройка рішення Cisco SD-WAN, а й повноцінний моніторинг стану всіх компонентів рішення аж до поточного стану метрик окремих тунелів і статистики використання різних додатків на основі DPI аналізу.

Незважаючи на централізацію взаємодії, всі компоненти (контролери та маршрутизатори) володіють також повнофункціональним командним рядком CLI, який необхідний на етапі впровадження або в разі нештатної ситуації для локальної діагностики. У штатному режимі (при наявності сигнального каналу між компонентами) на маршрутизаторах командний рядок доступний тільки для діагностики і недоступний для внесення локальних змін, що гарантує і локальну безпеку і єдине джерело змін в такій мережі - vManage.

Інтегрована безпека - тут мова повинна йти не тільки про захист призначених для користувача даних при передачі по відкритих каналах, а й про загальну захищеність WAN-мережі на базі обраної технології.

  • в DMVPN/PfR передбачена можливість шифрування даних користувача і сигнальних протоколів. При використанні певних моделей маршрутизаторів додатково доступні функції міжмережевого екранування з інспекцією трафіку, IPS/IDS. Є можливість сегментації філіальних мереж з використанням VRF. Є можливість аутентифікації (однофакторной) контрольних протоколів.

При цьому віддалений маршрутизатор за замовчуванням вважається довіреним елементом мережі - тобто не передбачається і не враховуються випадки фізичної компрометації окремих пристроїв і можливість несанкціонованого доступу до них, немає двофакторної аутентифікації компонентів рішення, що в разі географічно розподіленої мережі може нести серйозні додаткові ризики.

  • в SD-WAN по аналогії з DMVPN передбачена можливість шифрування даних користувача, але зі значно розширеними функціями мережевої безпеки і L3/VRF сегментації (МСЕ, IPS/IDS, URL-фільтрація, DNS-фільтрація, AMP/TG, SASE, TLS/SSL proxy і т.д.). При цьому обмін ключами шифрування здійснюється більш ефективно через vSmart контролери (а не безпосередньо), по заздалегідь встановленим сигнальним каналам, захищеним DTLS/TLS шифруванням на основі сертифікатів безпеки. Що в свою чергу гарантує безпеку такого обміну і забезпечує кращу масштабованість рішення аж до десятків тисяч пристроїв в одній мережі.

Всі сигнальні сполуки (контролер-контролер, контролер маршрутизатор) також захищені на основі DTLS/TLS. Маршрутизатори оснащуються сертифікатами безпеки при виробництві з можливістю заміни/продовження. Двофакторна аутентифікація досягається за рахунок обов'язкового і одночасного виконання двох умов для можливості функціонування маршрутизатора/контролера в SD-WAN мережі:

  • Чинний сертифікат безпеки
  • Явне і усвідомлене внесення адміністратором кожного компонента в «білий» список дозволених пристроїв.

Функціональні відмінності SD-WAN і DMVPN/PfR

Переходячи до обговорення функціональних відмінностей, потрібно відзначити, що багато хто з них є продовженням архітектурних - не секрет, що при формуванні архітектури рішення розробники відштовхуються від тих можливостей, які хочуть отримати в результаті. Розглянемо найбільш значущі відмінності двох технологій.

AppQ (Application Quality) - функції забезпечення якості передачі трафіку бізнес-додатків

Ключові функції розглянутих технологій спрямовані на те, щоб наскільки це можливо поліпшити користувальницький досвід при використанні бізнес-критичних додатків в розподіленій мережі. Це особливо важливо в умовах, коли частина інфраструктури не контролюється IT або навіть не гарантує успішну передачу даних.

DMVPN самостійно не надає таких механізмів. Найкраще, що можна зробити в класичній DMVPN мережі, це класифікувати вихідний трафік по додатках і пріоритезувати його при передачі в напрямку WAN-каналу. Вибір DMVPN тунелю обумовлений в цьому випадку тільки його доступністю і результатом роботи протоколів маршрутизації. При цьому ніяк не враховується наскрізний стан шляху/тунелю і його можлива часткова деградація з точки зору ключових метрик, які є значущими для мережевих додатків - затримка, варіація затримки (джиттер) і втрати (%). У зв'язку з цим безпосередньо порівнювати класичний DMVPN c SD-WAN в частині вирішення AppQ завдань втрачає будь-який сенс - DMVPN не може вирішити це завдання. При додаванні в цей контекст технології Cisco Performance Routing (PfR) ситуація змінюється і порівняння з Cisco SD-WAN стає більш доцільним.

Перш, ніж перейти до обговорення відмінностей, коротко про те, в чому технології схожі. Отже, обидві технології:

  • мають в наявності механізм, який дозволяє динамічно оцінити стан кожного встановленого тунелю в розрізі певних метрик - як мінімум, затримка, варіація затримки і втрати пакетів (%)
  • використовують певний набір інструментів для формування, поширення і застосування правил (політик) управління трафіком з урахуванням результату вимірювання стану ключових метрик тунелів.
  • класифікують трафік додатків на рівнях L3-L4 (DSCP) моделі OSI або по L7 сигнатурам додатків на основі вбудованих в маршрутизатор DPI механізмів
  • дозволяють для значущих додатків визначити допустимі порогові значення метрик, правила передачі трафіку по-замовчуванню, правила перемаршрутізаціі трафіку при перевищенні порогових значень.
  • при інкапсуляції трафіку в GRE/IPSec використовують вже сталий в індустрії механізм перенесення внутрішньої DSCP маркування у зовнішній GRE/IPSEC заголовок пакета, що дозволяє синхронізувати політики QoS організації та оператора зв'язку (при наявності відповідного SLA).

Як відрізняються механізми оцінки наскрізних метрик SD-WAN і DMVPN/PfR?

DMVPN/PfR

  • Для оцінки стандартних метрик стану тунелю використовуються як активні, так і пасивні програмні сенсори (Probes). Активні - на основі призначеного для користувача трафіку, пасивні емулюють такий трафік (при його відсутності).
  • Тонка настройка таймерів і умов виявлення деградації відсутня - алгоритм фіксований.
  • Додатково доступний вимір використовуваної смуги пропускання в вихідному напрямку. Що додає DMVPN/PfR додаткову гнучкість управління трафіком.
  • При цьому деякі механізми PfR при перевищенні метрик покладаються на зворотній сигнальний зв'язок у вигляді спеціальних TCA (Threshold Crossing Alert) повідомлень, які повинні виходити від одержувача трафіку в сторону джерела, що в свою чергу передбачає, що стану вимірюваних каналів має бути як мінімум досить для передачі таких TCA-повідомлень. Що в більшості випадків не є проблемою, але очевидно не може бути гарантовано.

SD-WAN

  • Для наскрізної оцінки стандартних метрик стану тунелю використовується протокол BFD в echo-режимі. При цьому спеціального зворотного зв'язку у вигляді TCA або подібних повідомлень не потрібно - дотримується ізольованість доменів відмови. Також не потрібна присутність користувача трафіку для оцінки стану тунелю.
  • Є можливість тонкої настройки таймерів BFD для регулювання швидкості спрацьовування і чутливості алгоритму до деградації каналу зв'язку від декількох секунд до хвилин.

  • На момент написання статті в кожному з тунелів передбачена тільки одна BFD сесія. Потенційно це створює меншу гранулярность при аналізі стану тунелю. Насправді це може стати обмеженням тільки в разі використання WAN-підключення на базі MPLS L2/L3 VPN з узгодженим QoS SLA - якщо DSCP-маркування BFD трафіку (після інкапсуляції в IPSec/GRE) буде збігатися з високопріоритетною чергою в мережі оператора зв'язку, то це може вплинути на точність і швидкість виявлення деградації для низькопріоритетного трафіку. При цьому є можливість зміни маркування BFD за замовчуванням для зниження ризику виникнення подібних ситуацій. У наступних версіях ПЗ Cisco SD-WAN очікується поява більш тонкої настройки BFD, а також можливість запуску декількох BFD сесій в рамках одного тунелю з індивідуальними DSCP-значеннями (для різних додатків).
  • BFD додатково дозволяє оцінити максимальний розмір пакету, який можливо передати з того чи іншого тунелю без фрагментації. Це дозволяє SD-WAN динамічно налаштовувати такі параметри, як MTU і TCP MSS Adjust, щоб максимально ефективно використовувати доступну смугу пропускання на кожному каналі.
  • У SD-WAN також доступна опція синхронізації QoS з операторів зв'язку не тільки на основі L3 DSCP поля, але і на основі L2 CoS значень, які можуть автоматично формуватися в філіальній мережі спеціалізованими пристроями - наприклад, IP-телефонами.

Як відрізняються можливості, способи визначення і застосування AppQ політик?

Політики DMVPN/PfR:

  • Визначаються на маршрутизаторі (-ів) центральної філії (ЦФ) через командний рядок CLI або CLI-шаблони конфігурацій. Формування CLI-шаблонів вимагає підготовки і знання синтаксису політик.

  • Визначаються глобально без можливості індивідуальної настройки/зміни під вимоги окремих сегментів мережі.
  • Інтерактивне формування політик в графічному інтерфейсі не передбачено.
  • Відстеження змін, успадкування, створення декількох версій політик для швидкого перемикання не передбачено.
  • Поширюються автоматично на маршрутизатори віддалених філій. При цьому використовуються ті ж канали зв'язку, що і для передачі призначених для користувача даних. При відсутності каналу зв'язку між центральною і віддаленою філією поширення/зміна політик неможливо.
  • Застосовуються на кожному маршрутизаторі і при необхідності модифікують результат стандартних протоколів маршрутизації, маючи більш високий пріоритет.
  • Для випадків, коли всі WAN-канали філії відчувають значні втрати трафіку, механізмів компенсації не передбачено.

Політики SD-WAN:

  • Визначаються в графічному інтерфейсі vManage через інтерактивний майстер шаблонів.
  • Підтримують створення декількох політик, копіювання, наслідування, перемикання між політиками в реальному режимі часу.
  • Підтримують індивідуальну настройку політики під різні сегменти (філії) мережі
  • Поширюються, використовуючи будь-який доступний сигнальний канал між контролером і маршрутизатором і/або vSmart - не залежить безпосередньо від data-plane зв'язності між маршрутизаторами. При цьому звичайно необхідна IP-зв'язність між самим маршрутизатором і контролерами.

  • Для випадків, коли всі доступні канали філії відчувають значні втрати даних, що перевищують допустимі порогові значення для критичних додатків, можливе використання додаткових механізмів, що підвищують надійність передачі:
    • FEC (Forward Error Correction) - використовує спеціальний алгоритм надлишкового кодування. При передачі критичного трафіку по каналах зі значним відсотком втрат, FEC може бути автоматично активований і дозволяє при необхідності відновити втрачену частину даних. При цьому незначно підвищується використовувана смуга передачі, але значно підвищується надійність.

    • Дублікація потоків даних - додатково до FEC політика може передбачати автоматичне дублювання трафіку обраних додатків в разі ще більш серйозного рівня втрат, які не вдається компенсувати за допомогою FEC. В цьому випадку вибрані дані будуть передаватися по всіх тунелях в сторону філії-отримувача з подальшою де-дублікацією (відкидання зайвих копій пакетів). Механізм помітно збільшує утилізацію каналів, але так само значно підвищує надійність передачі.

Можливості Cisco SD-WAN, без прямих аналогів в DMVPN/PfR

Архітектура рішення Cisco SD-WAN в деяких випадках дозволяє отримати можливості, реалізація яких в рамках DMVPN/PfR або вкрай ускладнена, або недоцільна в силу необхідних трудовитрат, або взагалі неможлива. Розглянемо найбільш цікаві з них:

Traffic-Engineering (TE)

TE включає механізми, які дозволяють відводити трафік від стандартного шляху, сформованого протоколами маршрутизації. TE часто використовується для забезпечення високої доступності мережевих сервісів, за рахунок здатності швидко і/або заздалегідь перевести важливий трафік на альтернативний (непересічний) шлях передачі, з метою забезпечення кращої якості сервісу або швидкості його відновлення в разі збою на основному шляху.

Складність реалізації TE полягає в необхідності заздалегідь обчислити і зарезервувати (перевірити) альтернативний шлях. У MPLS мережах операторів зв'язку цю задачу вирішують, використовуючи такі технології, як MPLS Traffic-Engineering з розширеннями IGP протоколів і RSVP протоколу. Також останнім часом все більшої популярності набирає технологія Segment Routing, яка більш оптимізована для централізованої настройки і оркестрації. У класичних WAN мережах ці технології, як правило, не представлені або зведені до використання hop-by-hop механізмів на зразок Policy-Based Routing (PBR), які здатні відгалузити трафік, але реалізують це на кожному маршрутизаторі окремо - без урахування загального стану мережі або результату PBR на попередньому або наступних кроках. Підсумок застосування цих варіантів TE невтішний - MPLS TE зважаючи на складність настройки і експлуатації, використовують, як правило, тільки в самій критичній частині мережі (ядро), а PBR використовують на окремих маршрутизаторах без можливості сформувати якусь єдину PBR політику на всій мережі. Очевидно, це стосується і мереж на базі DMVPN.

SD-WAN в цьому плані пропонує набагато більш елегантне рішення, яке не тільки легко налаштовується, але і значно краще масштабується. Це є результатом використовуваних архітектур control-plane і policy-plane. Реалізація policy-plane в SD-WAN дозволяє централізовано визначити політику TE - який трафік цікавить? для яких VPN? через які вузли/тунелі необхідно або навпаки заборонено формувати альтернативний маршрут? У свою чергу централізація управління control-plane на базі vSmart контролерів дозволяє модифікувати результати маршрутизації, не вдаючись до налаштувань окремих пристроїв - маршрутизатори вже бачать тільки результат тієї логіки, яка була сформована в інтерфейсі vManage і передана для застосування на vSmart.

Service-chaining (Сервісні ланцюжки)

Формування сервісних ланцюжків ще більш трудомістке завдання в класичній маршрутизації, ніж вже описаний механізм Traffic-Engineering. Адже в цьому випадку необхідно не тільки сформувати якийсь спеціальний маршрут для певного мережевого додатку, але і забезпечити можливість виведення трафіку з мережі на певних (або на всіх) вузлах SD-WAN мережі для обробки спеціальним додатком або сервісом (МСЕ, Балансування, Кешування, Інспекція трафіку і т.п.). При цьому необхідно мати можливість контролювати стан цих зовнішніх сервісів, щоб не допускати ситуацій black-holing, а також потрібні механізми дозволяють розміщувати такі однотипні зовнішні сервіси в різних гео-локаціях з можливістю мережі автоматично вибирати найбільш оптимальний сервісний вузол для обробки трафіку тієї чи іншої філії . У разі Cisco SD-WAN це досить легко досягти, створивши відповідну централізовану політику, яка «склеїть» всі аспекти цільового сервісного ланцюжка в єдине ціле і автоматично змінить логіку data-plane і control-plane тільки там і тоді, де це необхідно.

Здатність сформувати гео-розподілену обробку трафіку обраних видів додатків в певній послідовності на спеціалізованому (яке не має відношення до самої мережі SD-WAN) обладнанні - це, мабуть, найбільш наочна демонстрація переваг Cisco SD-WAN над класичними технологіями і навіть деякими альтернативними рішеннями SD -WAN інших виробників.

Що в підсумку?

Очевидно, що і DMVPN (спільно або без Performance Routing) і Cisco SD-WAN вирішують в кінцевому підсумку дуже схожі завдання по відношенню до розподіленої WAN мережі організації. При цьому істотні архітектурні та функціональні відмінності технології Cisco SD-WAN виводять процес вирішення цих завдань на інший якісний рівень. Резюмуючи, можна відзначити такі суттєві відмінності технологій SD-WAN і DMVPN/PfR:

  • DMVPN/PfR в цілому використовують перевірені часом технології побудови накладених VPN мереж і в частині data-plane схожі з більш сучасною SD-WAN технологією, при цьому є ряд обмежень в особі обов'язкової статичної конфігурації маршрутизаторів і вибір топологій обмежений Hub-n-Spoke. З іншого боку, у DMVPN/PfR є деякі функціональні можливості, які поки недоступні в рамках SD-WAN (мова про per-application BFD).
  • В рамках control-plane технології відрізняються принципово. З урахуванням централізованої обробки сигнальних протоколів SD-WAN дозволяє, зокрема, значно звузити домени відмови і «розв'язати» процес передачі користувальницького трафіку від сигнальної взаємодії - тимчасова недоступність контролерів не впливає на можливість передачі користувальницького трафіку. У той же час тимчасова недоступність будь-якої філії (в тому числі центральної) ніяк не впливає можливість інших філій взаємодіяти одна з одною і контролерами.
  • Архітектура формування і застосування політик управління трафіком в разі SD-WAN також перевершує таку в DMVPN/PfR - значно краще реалізовано гео-резервування, немає прив'язки до Hub, більше можливостей з тонкого налаштування політик, список реалізованих сценаріїв управління трафіком також значно більше.
  • Процес оркестрації рішення також значно відрізняється. DMVPN передбачає наявність заздалегідь відомих параметрів, які повинні бути якимось чином відображені в конфігурації, що дещо обмежує гнучкість рішення і можливість динамічних змін. У свою чергу SD-WAN виходить з парадигми, що в початковий момент часу підключення маршрутизатор «не знає нічого» про свої контролери, але знає «у кого можна запитати» - цього достатньо не тільки для автоматичного встановлення зв'язку з контролерами, а й для автоматичного формування повно зв'язної data-plane топології, яку потім можна гнучко налаштувати/змінити за допомогою політик.
  • У частині централізованого управління, автоматизації та моніторингу SD-WAN очікувано перевершує можливості DMVPN/PfR, які стали результатом розвитку класичних технологій і більшою мірою покладаються на командний рядок CLI і застосування систем NMS на основі шаблонів.
  • У SD-WAN в порівнянні з DMVPN вимоги безпеки вийшли на інший якісний рівень. Головні принципи - нульова довіра, масштабованість і двофакторна аутентифікація.

З цих нескладних висновків може скластися невірне враження, що створення мережі на базі DMVPN/PfR втратило сьогодні будь-яку актуальність. Це звичайно не зовсім так. Наприклад, у випадках, коли на мережі використовується безліч застарілого обладнання і немає можливості його замінити, DMVPN може дозволити об'єднати «старі» і «нові» пристрої в єдину гео-розподілену мережу з великою кількістю описаних вище переваг.

З іншого боку слід пам'ятати, що Всі актуальні корпоративні маршрутизатори Cisco на базі IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) сьогодні підтримують будь-який режим роботи - і класичну маршрутизацію і DMVPN і SD-WAN - вибір визначається поточними потребами і розумінням, що в будь-який момент на тому ж самому обладнанні можна почати рухатися в бік більш просунутої технологією.

Джерело: https://habr.com/ru/company/cisco/blog/514616/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  •  Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

 e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).