Ici, vous devez immédiatement faire une réservation qu'avant l'apparition du SD-WAN dans le portefeuille Cisco, DMVPN avec PfR constituait un élément clé de l'architecture Cisco IWAN (Intelligent WAN)qui à son tour représentait le prédécesseur de la technologie SD-WAN à part entière. Malgré la similitude générale des problèmes à résoudre et des méthodes pour les résoudre, IWAN n'a pas reçu le niveau d'automatisation, de flexibilité et d'évolutivité nécessaires pour le SD-WAN, et au fil du temps, le développement d'IWAN a considérablement diminué. Dans le même temps, les technologies elles-mêmes qui composent l'IWAN ne sont allées nulle part, et de nombreux clients continuent de les utiliser avec succès, y compris sur des équipements modernes. En conséquence, une situation intéressante s'est développée - le même équipement Cisco vous permet de choisir la technologie WAN la plus adaptée (classique, DMVPN + PfR ou SD-WAN) en fonction des exigences et des attentes des clients.
L'article n'a pas l'intention d'analyser en détail toutes les fonctionnalités des technologies Cisco SD-WAN et DMVPN (avec ou sans Performance Routing) - il existe une énorme quantité de documents et de matériaux disponibles pour cela. La tâche principale est d'essayer d'évaluer les principales différences entre ces technologies. Mais encore, avant de passer à discuter de ces différences, rappelons brièvement les technologies elles-mêmes.
Qu'est-ce que Cisco DMVPN et pourquoi est-il nécessaire?
Cisco DMVPN résout le problème de la connexion dynamique (= évolutive) d'un réseau de succursales distantes au réseau du bureau central d'une entreprise en utilisant des types arbitraires de canaux de communication, y compris Internet (= avec cryptage du canal de communication). Techniquement, ceci est réalisé en créant un réseau de superposition virtualisé de classe VPN L3 en mode point à multipoint avec une topologie logique de type "Star" (Hub-n-Spoke). Pour ce faire, DMVPN utilise une combinaison des technologies suivantes:
- Routage IP
- Tunnels GRE multipoints (mGRE)
- Protocole de résolution du prochain bond (NHRP)
- Profils cryptographiques IPSec
Quels sont les principaux avantages de Cisco DMVPN par rapport au routage classique utilisant les canaux VPN MPLS?
- – , IP- , ( ) ( )
- . – , – ( )
- IP- . mGRE , . , .
Cisco Performance Routing ?
Lors de l'utilisation de DMVPN sur le réseau interprofessionnel, une question extrêmement importante reste en suspens: comment évaluer dynamiquement l'état de chacun des tunnels DMVPN pour la conformité avec les exigences de trafic qui est critique pour notre organisation et, encore une fois, sur la base de cette évaluation, prendre dynamiquement une décision de réacheminement? Le fait est que le DMVPN dans cette partie n'est pas très différent du routage classique - la meilleure chose à faire est de configurer des mécanismes de QoS, qui permettront de hiérarchiser le trafic dans le sens sortant, mais ne sont en aucun cas capables de prendre en compte l'état de l'ensemble du chemin à un moment ou à un autre.
Et que faire si le canal se dégrade partiellement, mais pas complètement - comment le détecter et l'évaluer? DMVPN lui-même ne peut pas faire cela. Étant donné que les canaux reliant les succursales peuvent passer par des opérateurs de télécommunications complètement différents utilisant des technologies complètement différentes, cette tâche devient extrêmement non triviale. Et c'est là que la technologie Cisco Performance Routing vient à la rescousse, qui à ce moment-là était déjà passée par plusieurs étapes de développement.
La tâche de Cisco Performance Routing (ci-après PfR) se résume à mesurer l'état des chemins (tunnels) du trafic passant en fonction de métriques clés importantes pour les applications réseau - latence, variation de délai (gigue) et perte de paquets (en pourcentage)... De plus, la bande passante utilisée peut être mesurée. Ces mesures ont lieu aussi près du temps réel que possible et justifiées, et le résultat de ces mesures permet à un routeur utilisant PfR de prendre dynamiquement des décisions sur la nécessité de modifier le routage d'un type particulier de trafic.
Ainsi, le problème de la combinaison DMVPN / PfR peut être brièvement décrit comme suit:
- Autoriser le client à utiliser tous les canaux de communication sur le réseau WAN
- Assurer la meilleure qualité possible des applications critiques sur ces canaux
Qu'est-ce que Cisco SD-WAN?
Cisco SD-WAN est une technologie qui utilise une approche SDN pour créer et exploiter le WAN d'une organisation. En particulier, cela signifie l'utilisation de soi-disant contrôleurs (éléments logiciels), qui fournissent une orchestration centralisée et une configuration automatisée de tous les composants de la solution. Contrairement au SDN canonique (style Clean Slate), Cisco SD-WAN utilise plusieurs types de contrôleurs à la fois, chacun remplissant son propre rôle - cela est fait intentionnellement afin de fournir une meilleure évolutivité et une meilleure géo-redondance.
Dans le cas du SD-WAN, la tâche consistant à utiliser tous les types de canaux et à assurer le fonctionnement des applications métier demeure, mais en même temps, les exigences d'automatisation, d'évolutivité, de sécurité et de flexibilité d'un tel réseau augmentent.
Discussion des différences
Si nous commençons maintenant à analyser les différences entre ces technologies, elles tomberont dans l'une des catégories:
- Différences architecturales - comment les fonctions sont-elles réparties entre les divers composants de la solution, comment l'interaction de ces composants est-elle organisée et comment cela affecte-t-il les capacités et la flexibilité de la technologie?
- Fonctionnalité - que peut faire une technologie qui ne peut pas en faire une autre? Et est-ce si important?
Quelles sont les différences architecturales et sont-elles vraiment importantes?
Chacune des technologies désignées comporte de nombreuses «pièces mobiles», qui diffèrent non seulement par leur rôle, mais également par les principes d'interaction les unes avec les autres. L'évolutivité, la tolérance aux pannes et l'efficacité globale de la solution dépendent directement du degré de réflexion de ces principes et de la mécanique générale de la solution.
Examinons plus en détail divers aspects de l'architecture: le
plan de données fait partie de la solution qui est responsable du transfert du trafic utilisateur entre la source et la destination. En DMVPN et SD-WAN, l'implémentation est généralement la même sur les routeurs eux-mêmes basés sur des tunnels GRE multipoint. La différence réside dans la manière dont l'ensemble de paramètres requis pour ces tunnels est formé:
- DMVPN/PfR – «» Hub-n-Spoke. Hub Spoke Hub, NHRP data-plane . , Hub, , / WAN- .
- en SD-WAN , il s'agit d'un modèle entièrement dynamique pour découvrir les paramètres des tunnels établis basés sur le plan de contrôle (protocole OMP) et le plan d'orchestration (interaction avec le contrôleur vBond pour les tâches de découverte de contrôleur et de traversée NAT). Dans ce cas, les topologies superposées peuvent être n'importe lesquelles, y compris les topologies hiérarchiques. Dans la topologie de tunnel superposée établie, une configuration flexible de la topologie logique est possible dans chaque VPN individuel (VRF).
Plan de contrôle - fonctions d'échange, de filtrage et de modification du routage et d'autres informations entre les composants de la solution.
- DMVPN/PfR – Hub Spoke. Spoke . , Hub control-plane data-plane, Hub , .
- dans le SD-WAN - le plan de contrôle n'est jamais effectué directement entre les routeurs - l'interaction est basée sur le protocole OMP et est nécessairement réalisée via un type spécialisé distinct de contrôleur vSmart, qui offre la possibilité d'équilibrer, de géo-redondance et de contrôle centralisé de la charge de signalisation. Une autre caractéristique du protocole OMP est sa résistance significative aux pertes et son indépendance vis-à-vis de la vitesse du canal de communication avec les contrôleurs (dans des limites raisonnables, bien sûr). Cela réussit également à héberger des contrôleurs SD-WAN dans des clouds publics ou privés avec accès à Internet.
Policy-plane - la partie de la solution responsable de la définition, de la distribution et de l'application des politiques de contrôle du trafic sur un WAN.
- DMVPN – (QoS), CLI Prime Infrastructure.
- DMVPN/PfR – PfR Master Controller (MC) CLI MC. , data-plane. , . IP- Hub Spoke. MC DMVPN . ( ) Prime Infrastructure . — – .
- SD-WAN – Cisco vManage ( ). vSmart ( ). data-plane , .. .
– , – , , ..
Plan d'orchestration - mécanismes qui permettent aux composants de se découvrir de manière dynamique, de configurer et de coordonner les interactions ultérieures.
- dans DMVPN / PfR, la découverte mutuelle par les routeurs est basée sur la configuration statique des appareils Hub et la configuration correspondante des appareils Spoke. La découverte dynamique se produit uniquement pour Spoke, qui communique ses paramètres de connexion Hub à l'appareil, qui à son tour est préconfiguré dans la configuration Spoke. Sans connectivité IP, un Spoke avec au moins un Hub ne peut pas former un plan de données ou un plan de contrôle.
- SD-WAN vBond, ( vManage/vSmart) IP-.
– - vBond. – ( ) vBond, vBond vManage vSmart ( ), .
À l'étape suivante, le nouveau routeur découvre le reste des routeurs du réseau via l'échange OMP avec le contrôleur vSmart. Ainsi, le routeur, au départ ne sachant rien du tout sur les paramètres du réseau, est capable de détecter et de se connecter de manière entièrement automatique aux contrôleurs, puis de détecter et d'établir automatiquement une connectivité avec d'autres routeurs. Dans le même temps, les paramètres de connexion de tous les composants sont initialement inconnus et peuvent changer pendant le fonctionnement.
Le plan de gestion fait partie de la solution qui fournit une gestion et une surveillance centralisées.
- DMVPN/PfR – management-plane . , Cisco Prime Infrastructure. CLI. API .
- SD-WAN – vManage. vManage, REST API.
SD-WAN vManage – (Device Template) , . vManage, , / , .
vManage Cisco SD-WAN, DPI .
, ( ) CLI, . ( ) , – vManage.
Sécurité intégrée - ici, nous devrions parler non seulement de la protection des données des utilisateurs lors de la transmission sur des canaux ouverts, mais également de la sécurité globale du réseau WAN en fonction de la technologie sélectionnée.
- DMVPN/PfR . , IPS/IDS. VRF. () .
- – .. , , . - SD-WAN DMVPN , L3/VRF (, IPS/IDS, URL-, DNS-, AMP/TG, SASE, TLS/SSL proxy ..). vSmart ( ), , DTLS/TLS . .
(-, ) DTLS/TLS. /. / SD-WAN :
- «» .
SD-WAN DMVPN/PfR
Passant à la discussion des différences fonctionnelles, il convient de noter que beaucoup d'entre elles sont une continuation des différences architecturales - ce n'est un secret pour personne que lorsqu'ils façonnent l'architecture d'une solution, les développeurs partent des capacités qu'ils souhaitent obtenir à la fin. Considérons les différences les plus significatives entre les deux technologies.
AppQ (Application Quality) - fonctions pour assurer la qualité de la transmission du trafic des applications métier
Les fonctions clés de ces technologies visent à améliorer autant que possible l'expérience utilisateur lors de l'utilisation d'applications critiques dans un réseau distribué. Ceci est particulièrement important dans les conditions où une partie de l'infrastructure n'est pas contrôlée par le service informatique ou ne garantit même pas un transfert de données réussi.
DMVPN ne fournit pas de tels mécanismes par lui-même. La meilleure chose à faire dans un réseau DMVPN classique est de classer le trafic sortant par application et de le hiérarchiser dans le sens de la liaison WAN. Le choix d'un tunnel DMVPN est dans ce cas uniquement dû à sa disponibilité et au résultat des protocoles de routage. Dans le même temps, l'état de bout en bout du chemin / tunnel et sa possible dégradation partielle du point de vue des métriques clés qui sont significatives pour les applications réseau - retard, variation de délai (gigue) et perte (%) ne sont pas pris en compte. À cet égard, cela n'a aucun sens de comparer directement le DMVPN classique avec le SD-WAN en termes de résolution des problèmes AppQ - DMVPN ne peut pas résoudre ce problème. Avec l'ajout de la technologie Cisco Performance Routing (PfR) à ce contexte, la situation change et la comparaison avec Cisco SD-WAN devient plus appropriée.
Avant de passer à l'examen des différences, voici un bref résumé de la similitude des technologies. Donc, les deux technologies:
- avoir un mécanisme qui vous permet d'évaluer dynamiquement l'état de chaque tunnel établi dans le contexte de certaines métriques - au moins le retard, la variation du délai et la perte de paquets (%)
- utiliser un certain ensemble d'outils pour la formation, la distribution et l'application de règles de contrôle du trafic (politiques), en tenant compte du résultat de la mesure de l'état des métriques clés des tunnels.
- classe le trafic des applications aux couches L3-L4 (DSCP) du modèle OSI ou aux signatures d'application L7 en fonction des mécanismes DPI intégrés au routeur
- permettent à des applications importantes de définir des valeurs de seuil acceptables des métriques, des règles de transmission du trafic par défaut, des règles de réacheminement du trafic lorsque les valeurs de seuil sont dépassées.
- GRE/IPSec DSCP GRE/IPSEC , QoS ( SLA).
SD-WAN DMVPN/PfR?
DMVPN/PfR
- , (Probes). — , ( ).
- – .
- . DMVPN/PfR .
- PfR TCA (Threshold Crossing Alert) , , , TCA-. , .
SD-WAN
- BFD echo-. TCA – . .
- BFD .
- BFD . . WAN- MPLS L2/L3 VPN QoS SLA — DSCP- BFD ( IPSec/GRE) , . BFD - . Cisco SD-WAN BFD, BFD DSCP- ( ).
- BFD , . SD-WAN , MTU TCP MSS Adjust, .
- SD-WAN QoS L3 DSCP , L2 CoS , — , IP-
, AppQ ?
DMVPN/PfR:
- (-) () CLI CLI- . CLI- .
- / .
- .
- , , .
- . , . / .
- , .
- , WAN- , .
SD-WAN:
- vManage .
- , , , .
- ()
- , / vSmart – data-plane . IP- .
- , , , , :
- FEC (Forward Error Correction) – . , FEC . , .
- Duplication des flux de données - Outre la FEC, la politique peut prévoir la duplication automatique du trafic des applications sélectionnées en cas de niveau de perte encore plus grave qui ne peut pas être compensé par l'utilisation de FEC. Dans ce cas, les données sélectionnées seront transmises à travers tous les tunnels vers la branche réceptrice avec une déduplication ultérieure (en supprimant les copies supplémentaires des paquets). Le mécanisme augmente considérablement l'utilisation du canal, mais augmente également considérablement la fiabilité de la transmission.
- FEC (Forward Error Correction) – . , FEC . , .
Capacités Cisco SD-WAN, pas d'analogues directs dans DMVPN / PfR
L'architecture de la solution Cisco SD-WAN, dans certains cas, vous permet d'obtenir des opportunités dont la mise en œuvre dans DMVPN / PfR est soit extrêmement difficile, soit peu pratique en raison des coûts de main-d'œuvre nécessaires, voire impossible. Considérons le plus intéressant d'entre eux:
Ingénierie du trafic (TE)
TE comprend des mécanismes qui permettent au trafic d'être détourné du chemin standard formé par les protocoles de routage. TE est souvent utilisé pour fournir une haute disponibilité des services réseau, en raison de la capacité à rapidement et / ou à faire avancer le trafic important vers un chemin de transmission alternatif (sans chevauchement), afin de fournir une meilleure qualité de service ou une vitesse de récupération en cas de panne sur le chemin principal.
La complexité de la mise en œuvre de TE réside dans la nécessité de calculer et de réserver (vérifier) un chemin alternatif à l'avance. Dans les réseaux MPLS des opérateurs de télécommunications, ce problème est résolu à l'aide de technologies telles que MPLS Traffic-Engineering avec des extensions de protocoles IGP et RSVP. Récemment également, la technologie de routage par segment, qui est plus optimisée pour la configuration et l'orchestration centralisées, gagne en popularité. Dans les réseaux WAN classiques, ces technologies, en règle générale, ne sont pas représentées ou sont réduites à l'utilisation de mécanismes saut par saut tels que le routage basé sur des politiques (PBR), qui sont capables de brancher le trafic, mais l'implémentent séparément sur chaque routeur - sans prendre en compte l'état général du réseau ou le résultat du PBR dans les étapes précédentes ou suivantes.Le résultat de l'utilisation de ces options TE est décevant - MPLS TE, en raison de la complexité de la configuration et du fonctionnement, n'est utilisé, en règle générale, que dans la partie la plus critique du réseau (cœur), et PBR est utilisé sur des routeurs individuels sans possibilité de former une certaine politique PBR unifiée sur l'ensemble du réseau. Évidemment, cela s'applique également aux réseaux basés sur DMVPN.
À cet égard, SD-WAN offre une solution beaucoup plus élégante qui est non seulement facile à configurer, mais qui évolue également beaucoup mieux. Ceci est le résultat des architectures de plan de contrôle et de plan politique utilisées. La mise en œuvre du plan de politique SD-WAN permet une définition centralisée de la politique TE - quel trafic est intéressant? pour quel VPN? par quels nœuds / tunnels est-il nécessaire ou, au contraire, interdit de former un itinéraire alternatif? À son tour, la centralisation du contrôle du plan de contrôle basé sur les contrôleurs vSmart vous permet de modifier les résultats du routage sans recourir aux paramètres des périphériques individuels - les routeurs ne voient déjà que le résultat de la logique qui a été formée dans l'interface vManage et transférée pour être appliquée à vSmart.
Chaînage de services
La formation de chaînes de service est une tâche encore plus laborieuse dans le routage classique que le mécanisme d'ingénierie du trafic déjà décrit. En effet, dans ce cas, il est nécessaire non seulement de former une certaine route spéciale pour une application réseau spécifique, mais également de fournir la possibilité de sortir le trafic du réseau vers certains (ou tous) nœuds du réseau SD-WAN pour traitement par une application ou un service spécial (ITU, Balancing, Caching, Inspection trafic, etc.). Dans le même temps, il est nécessaire de pouvoir contrôler l'état de ces services externes afin d'éviter les situations de black-holing, et des mécanismes sont également nécessaires pour placer ces services externes du même type dans différentes géolocalisations avec la capacité du réseau de sélectionner automatiquement le nœud de service le plus optimal pour traiter le trafic d'une branche particulière. ...Dans le cas de Cisco SD-WAN, cela est assez facile à réaliser en créant une politique centralisée appropriée qui «colle» tous les aspects de la chaîne de service cible en un seul tout et modifie automatiquement la logique du plan de données et du plan de contrôle uniquement là où et quand cela est nécessaire.
La capacité à former un traitement géo-distribué du trafic de types d'applications sélectionnés dans une certaine séquence sur des équipements spécialisés (mais non liés au réseau SD-WAN lui-même) est peut-être la démonstration la plus frappante des avantages de Cisco SD-WAN par rapport aux technologies classiques et même à certaines solutions SD alternatives. -WAN d'autres fabricants.
Quelle est la ligne de fond?
De toute évidence, DMVPN (avec ou sans routage de performance) et Cisco SD-WAN résolvent en fin de compte des problèmes très similaires en relation avec le réseau WAN distribué de l'organisation. Dans le même temps, les différences architecturales et fonctionnelles importantes de la technologie Cisco SD-WAN amènent le processus de résolution de ces problèmes à un niveau de qualité différent . En résumé, les différences significatives suivantes entre les technologies SD-WAN et DMVPN / PfR peuvent être notées:
- DMVPN/PfR VPN data-plane SD-WAN , Hub-n-Spoke. , DMVPN/PfR , SD-WAN ( per-application BFD).
- control-plane . SD-WAN , , «» – . - ( ) .
- SD-WAN DMVPN/PfR – -, Hub, , .
- . DMVPN , - , . SD-WAN , « » , « » – , data-plane , / .
- , SD-WAN DMVPN/PfR, CLI NMS .
- SD-WAN DMVPN . – , .
De ces simples conclusions, la fausse impression peut se former que la création d'un réseau basé sur DMVPN / PfR a perdu toute pertinence aujourd'hui. Ce n'est certainement pas tout à fait vrai. Par exemple, dans les cas où de nombreux équipements hérités sont utilisés sur le réseau et qu'il n'y a aucun moyen de les remplacer, DMVPN peut permettre de combiner les «anciens» et «nouveaux» appareils dans un seul réseau géo-distribué avec de nombreux avantages décrits ci-dessus.
D'autre part, il convient de rappeler que tous les routeurs d'entreprise Cisco actuels basés sur IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) prennent aujourd'hui en charge tous les modes de fonctionnement - routage classique et DMVPN et SD-WAN -le choix est déterminé par les besoins actuels et la compréhension qu'à tout moment, sur le même équipement, il est possible de commencer à évoluer vers une technologie plus avancée.