Aqui você deve imediatamente fazer uma reserva de que antes do aparecimento de SD-WAN no portfólio da Cisco, DMVPN juntamente com PfR constituíam uma parte fundamental na arquitetura Cisco IWAN (WAN inteligente)que, por sua vez, representou o predecessor da tecnologia SD-WAN completa. Apesar da semelhança geral entre os problemas sendo resolvidos e os métodos para resolvê-los, IWAN não recebeu o nível de automação, flexibilidade e escalabilidade necessários para SD-WAN e, com o tempo, o desenvolvimento de IWAN diminuiu significativamente. Ao mesmo tempo, as tecnologias que constituem a própria IWAN não desapareceram e muitos clientes continuam a usá-las com sucesso, inclusive em equipamentos modernos. Como resultado, uma situação interessante se desenvolveu - o mesmo equipamento Cisco permite que você escolha a tecnologia WAN mais adequada (clássica, DMVPN + PfR ou SD-WAN) de acordo com os requisitos e expectativas dos clientes.
O artigo não pretende analisar em detalhes todos os recursos das tecnologias Cisco SD-WAN e DMVPN (com ou sem roteamento de desempenho) - há uma grande quantidade de documentos e materiais disponíveis para isso. A principal tarefa é tentar avaliar as principais diferenças entre essas tecnologias. Mesmo assim, antes de passarmos a discutir essas diferenças, vamos relembrar brevemente as próprias tecnologias.
O que é Cisco DMVPN e por que ele é necessário?
Cisco DMVPN resolve o problema de conexão dinâmica (= escalável) de uma rede de filial remota à rede do escritório central de uma empresa usando tipos arbitrários de canais de comunicação, incluindo a Internet (= com criptografia do canal de comunicação). Tecnicamente, isso é realizado através da criação de uma rede de sobreposição virtualizada da classe VPN L3 no modo ponto a multiponto com uma topologia lógica do tipo "Estrela" (Hub-n-Spoke). Para fazer isso, DMVPN usa uma combinação das seguintes tecnologias:
- Roteamento IP
- Túneis GRE multiponto (mGRE)
- Protocolo de resolução de próximo salto (NHRP)
- Perfis de criptografia IPSec
Quais são as principais vantagens do Cisco DMVPN em comparação com o roteamento clássico usando canais MPLS VPN?
- – , IP- , ( ) ( )
- . – , – ( )
- IP- . mGRE , . , .
Cisco Performance Routing ?
Ao usar DMVPN na rede entre filiais, uma questão extremamente importante permanece sem solução - como avaliar dinamicamente o estado de cada um dos túneis DMVPN para conformidade com os requisitos de tráfego que são críticos para nossa organização e, novamente, com base nesta avaliação, tomar uma decisão de redirecionamento de forma dinâmica? O fato é que DMVPN nesta parte não é muito diferente do roteamento clássico - a melhor coisa que pode ser feita é configurar mecanismos de QoS, que permitirão priorizar o tráfego na direção de saída, mas não são capazes de levar em consideração o estado de todo o caminho em um momento ou outro.
E o que fazer se o canal se degradar parcialmente, mas não completamente - como detectá-lo e avaliá-lo? O próprio DMVPN não pode fazer isso. Considerando que os canais que conectam as filiais podem passar por operadoras de telecomunicações completamente diferentes usando tecnologias completamente diferentes, essa tarefa torna-se extremamente não trivial. E é aqui que a tecnologia Cisco Performance Routing vem em socorro, que naquela época já havia passado por vários estágios de desenvolvimento.
A tarefa do Cisco Performance Routing (doravante PfR) se resume a medir o estado dos caminhos (túneis) do fluxo de tráfego com base em métricas importantes para aplicativos de rede - atraso, variação de atraso (jitter) e perda de pacotes (em porcentagem)... Além disso, a largura de banda usada pode ser medida. Essas medições ocorrem o mais próximo possível do tempo real e garantido, e o resultado dessas medições permite que um roteador usando PfR tome decisões dinamicamente sobre a necessidade de alterar o roteamento de um tipo específico de tráfego.
Assim, o problema de combinar DMVPN / PfR pode ser brevemente descrito da seguinte forma:
- Permitir que o cliente use quaisquer canais de comunicação na rede WAN
- Garanta a mais alta qualidade possível de aplicativos críticos nesses canais
O que é Cisco SD-WAN?
Cisco SD-WAN é uma tecnologia que usa uma abordagem SDN para construir e operar a WAN de uma organização. Em particular, isso significa o uso dos chamados controladores (elementos de software), que fornecem orquestração centralizada e configuração automatizada de todos os componentes da solução. Ao contrário do SDN canônico (estilo Clean Slate), o Cisco SD-WAN usa vários tipos de controladores ao mesmo tempo, cada um desempenhando sua própria função - isso é feito intencionalmente para fornecer melhor escalabilidade e redundância geográfica.
No caso do SD-WAN, permanece a tarefa de utilizar todos os tipos de canais e garantir o funcionamento das aplicações de negócios, mas ao mesmo tempo, aumentam os requisitos de automação, escalabilidade, segurança e flexibilidade de tal rede.
Discussão das diferenças
Se agora começarmos a analisar as diferenças entre essas tecnologias, elas se enquadrarão em uma das categorias:
- Diferenças arquitetônicas - como as funções são distribuídas entre os vários componentes da solução, como é organizada a interação desses componentes e como isso afeta os recursos e a flexibilidade da tecnologia?
- Funcionalidade - o que uma tecnologia pode fazer que outra não pode? E isso é tão importante?
Quais são as diferenças arquitetônicas e elas são realmente importantes?
Cada uma das tecnologias designadas tem muitas "partes móveis", que diferem não apenas em seu papel, mas também nos princípios de interação umas com as outras. A escalabilidade, tolerância a falhas e eficiência geral da solução dependem diretamente de quão bem pensados esses princípios e a mecânica geral da solução.
Vamos considerar vários aspectos da arquitetura com mais detalhes:
O plano de dados é uma parte da solução responsável por transferir o tráfego do usuário entre a origem e o destino. Em DMVPN e SD-WAN, a implementação é geralmente a mesma nos próprios roteadores com base em túneis GRE multiponto. A diferença é como o conjunto de parâmetros necessário para esses túneis é formado:
- DMVPN/PfR – «» Hub-n-Spoke. Hub Spoke Hub, NHRP data-plane . , Hub, , / WAN- .
- em SD-WAN , é um modelo totalmente dinâmico para descobrir os parâmetros de túneis estabelecidos com base no plano de controle (protocolo OMP) e plano de orquestração (interação com o controlador vBond para descoberta de controlador e tarefas de passagem NAT). Nesse caso, as topologias sobrepostas podem ser quaisquer, inclusive hierárquicas. Dentro da topologia de túnel sobreposta estabelecida, a configuração flexível da topologia lógica é possível em cada VPN (VRF) individual.
Plano de controle - funções de troca, filtragem e modificação de roteamento e outras informações entre os componentes da solução.
- DMVPN/PfR – Hub Spoke. Spoke . , Hub control-plane data-plane, Hub , .
- em SD-WAN - o plano de controle nunca é realizado diretamente entre roteadores - a interação é baseada no protocolo OMP e é necessariamente realizada por meio de um tipo especializado separado de controlador vSmart, que fornece a possibilidade de balanceamento, redundância geográfica e controle centralizado da carga de sinalização. Outra característica do protocolo OMP é sua resistência significativa a perdas e independência da velocidade do canal de comunicação com os controladores (dentro de limites razoáveis, é claro). Isso é igualmente bem-sucedido ao hospedar controladores SD-WAN em nuvens públicas ou privadas com acesso à Internet.
Plano de política - a parte da solução responsável por definir, distribuir e aplicar políticas de controle de tráfego em uma WAN.
- DMVPN – (QoS), CLI Prime Infrastructure.
- DMVPN/PfR – PfR Master Controller (MC) CLI MC. , data-plane. , . IP- Hub Spoke. MC DMVPN . ( ) Prime Infrastructure . — – .
- SD-WAN – Cisco vManage ( ). vSmart ( ). data-plane , .. .
– , – , , ..
Plano de orquestração - mecanismos que permitem que os componentes se descubram dinamicamente, configurem e coordenem a interação subsequente.
- no DMVPN / PfR, a descoberta mútua por roteadores é baseada na configuração estática dos dispositivos Hub e na configuração correspondente dos dispositivos Spoke. A descoberta dinâmica ocorre apenas para o Spoke, que comunica seus parâmetros de conexão do Hub ao dispositivo, que por sua vez é pré-configurado na configuração do Spoke. Sem conectividade IP, um Spoke com pelo menos um Hub não pode formar um plano de dados ou um plano de controle.
- SD-WAN vBond, ( vManage/vSmart) IP-.
– - vBond. – ( ) vBond, vBond vManage vSmart ( ), .
Na próxima etapa, o novo roteador aprende sobre o restante dos roteadores na rede por meio da troca OMP com o controlador vSmart. Assim, o roteador, inicialmente sem saber nada sobre os parâmetros de rede, é capaz de detectar e conectar-se totalmente automaticamente aos controladores e, então, também detectar e formar conectividade com outros roteadores. Ao mesmo tempo, os parâmetros de conexão de todos os componentes são inicialmente desconhecidos e podem mudar durante a operação.
O plano de gerenciamento é uma parte da solução que fornece gerenciamento e monitoramento centralizado.
- DMVPN/PfR – management-plane . , Cisco Prime Infrastructure. CLI. API .
- SD-WAN – vManage. vManage, REST API.
SD-WAN vManage – (Device Template) , . vManage, , / , .
vManage Cisco SD-WAN, DPI .
, ( ) CLI, . ( ) , – vManage.
Segurança integrada - aqui devemos falar não apenas sobre a proteção dos dados do usuário durante a transmissão em canais abertos, mas também sobre a segurança geral da rede WAN com base na tecnologia selecionada.
- DMVPN/PfR . , IPS/IDS. VRF. () .
- – .. , , . - SD-WAN DMVPN , L3/VRF (, IPS/IDS, URL-, DNS-, AMP/TG, SASE, TLS/SSL proxy ..). vSmart ( ), , DTLS/TLS . .
(-, ) DTLS/TLS. /. / SD-WAN :
- «» .
SD-WAN DMVPN/PfR
Passando para a discussão das diferenças funcionais, deve-se notar que muitas delas são uma continuação das arquitetônicas - não é nenhum segredo que, ao modelar a arquitetura de uma solução, os desenvolvedores começam pelos recursos que desejam obter no final. Vamos considerar as diferenças mais significativas entre as duas tecnologias.
AppQ (Application Quality) - funções para garantir a qualidade da transmissão do tráfego de aplicativos de negócios
As principais funções dessas tecnologias têm como objetivo melhorar a experiência do usuário tanto quanto possível ao usar aplicativos essenciais para os negócios em uma rede distribuída. Isso é especialmente importante em condições em que parte da infraestrutura não é controlada por TI ou mesmo não garante uma transferência de dados bem-sucedida.
DMVPN não fornece tais mecanismos por si só. A melhor coisa que pode ser feita em uma rede DMVPN clássica é classificar o tráfego de saída por aplicativo e priorizá-lo na direção do link WAN. A escolha de um túnel DMVPN neste caso deve-se apenas à sua disponibilidade e ao resultado dos protocolos de encaminhamento. Ao mesmo tempo, o estado de ponta a ponta do caminho / túnel e sua possível degradação parcial do ponto de vista das principais métricas que são significativas para aplicativos de rede - atraso, variação de atraso (jitter) e perda (%) não são levados em consideração. Nesse sentido, não faz sentido comparar diretamente o DMVPN clássico com o SD-WAN em termos de resolução de problemas do AppQ - o DMVPN não pode resolver esse problema. Com a adição da tecnologia Cisco Performance Routing (PfR) a esse contexto, a situação muda e a comparação com o Cisco SD-WAN se torna mais apropriada.
Antes de passar a discutir as diferenças, aqui está um rápido resumo de como as tecnologias são semelhantes. Portanto, ambas as tecnologias:
- tem um mecanismo que permite avaliar dinamicamente o estado de cada túnel estabelecido no contexto de certas métricas - pelo menos atraso, variação de atraso e perda de pacote (%)
- utilizar um determinado conjunto de ferramentas para a formação, distribuição e aplicação de regras (políticas) de controle de tráfego, levando em consideração o resultado da medição do estado das principais métricas dos túneis.
- classifica o tráfego de aplicativos em camadas L3-L4 (DSCP) do modelo OSI ou assinaturas de aplicativos L7 com base nos mecanismos DPI integrados ao roteador
- permitir que aplicativos importantes definam valores de limite aceitáveis de métricas, regras para transmissão de tráfego por padrão, regras para redirecionar o tráfego quando os limites são excedidos.
- GRE/IPSec DSCP GRE/IPSEC , QoS ( SLA).
SD-WAN DMVPN/PfR?
DMVPN/PfR
- , (Probes). — , ( ).
- – .
- . DMVPN/PfR .
- PfR TCA (Threshold Crossing Alert) , , , TCA-. , .
SD-WAN
- BFD echo-. TCA – . .
- BFD .
- BFD . . WAN- MPLS L2/L3 VPN QoS SLA — DSCP- BFD ( IPSec/GRE) , . BFD - . Cisco SD-WAN BFD, BFD DSCP- ( ).
- BFD , . SD-WAN , MTU TCP MSS Adjust, .
- SD-WAN QoS L3 DSCP , L2 CoS , — , IP-
, AppQ ?
DMVPN/PfR:
- (-) () CLI CLI- . CLI- .
- / .
- .
- , , .
- . , . / .
- , .
- , WAN- , .
SD-WAN:
- vManage .
- , , , .
- ()
- , / vSmart – data-plane . IP- .
- , , , , :
- FEC (Forward Error Correction) – . , FEC . , .
- Duplicação de fluxos de dados - Além do FEC, a política pode fornecer a duplicação automática do tráfego de aplicativos selecionados no caso de um nível de perda ainda mais grave que não pode ser compensado pelo uso do FEC. Nesse caso, os dados selecionados serão transmitidos por todos os túneis em direção ao ramal receptor, com subsequente deduplicação (descartando cópias desnecessárias de pacotes). O mecanismo aumenta significativamente a utilização do canal, mas também aumenta significativamente a confiabilidade da transmissão.
- FEC (Forward Error Correction) – . , FEC . , .
Capacidades Cisco SD-WAN, sem análogos diretos em DMVPN / PfR
A arquitetura da solução Cisco SD-WAN, em alguns casos, permite obter oportunidades, cuja implementação no DMVPN / PfR é extremamente difícil, ou impraticável devido aos custos de mão de obra necessários, ou mesmo impossível. Vamos considerar o mais interessante deles:
Engenharia de Tráfego (TE)
O TE inclui mecanismos que permitem que o tráfego seja desviado do caminho padrão formado por protocolos de roteamento. TE é frequentemente usado para fornecer alta disponibilidade de serviços de rede, devido à capacidade de rapidamente e / ou avançar tráfego importante para um caminho de transmissão alternativo (não sobreposto), a fim de fornecer melhor qualidade de serviço ou velocidade de sua recuperação em caso de falha no caminho principal.
A complexidade da implementação do TE reside na necessidade de calcular e reservar (verificar) um caminho alternativo com antecedência. Em redes MPLS de operadoras de telecomunicações, esse problema é resolvido usando tecnologias como MPLS Traffic-Engineering com extensões de protocolos IGP e protocolo RSVP. Também recentemente, a tecnologia de Segment Routing, que é mais otimizada para configuração e orquestração centralizada, está ganhando cada vez mais popularidade. Em redes WAN clássicas, essas tecnologias, via de regra, não são representadas ou são reduzidas ao uso de mecanismos hop-by-hop como o Policy-Based Routing (PBR), que é capaz de ramificar o tráfego, mas implementa isso em cada roteador separadamente - sem levar em consideração o estado geral da rede ou o resultado PBR nas etapas anteriores ou subsequentes.O resultado do uso dessas opções de TE é decepcionante - MPLS TE, devido à complexidade de configuração e operação, é usado, como regra, apenas na parte mais crítica da rede (núcleo), e o PBR é usado em roteadores individuais sem a capacidade de formar uma determinada política PBR unificada em toda a rede. Obviamente, isso também se aplica a redes baseadas em DMVPN.
Nesse sentido, SD-WAN oferece uma solução muito mais elegante que não só é fácil de configurar, mas também tem uma escala muito melhor. Isso é resultado das arquiteturas de plano de controle e plano de política usadas. A implementação do plano de política SD-WAN permite a definição de política TE centralizada - qual tráfego é de interesse? para qual VPN? por quais nós / túneis é necessário ou, ao contrário, proibido formar uma rota alternativa? Por sua vez, a centralização do controle do plano de controle com base em controladores vSmart permite que você modifique os resultados de roteamento sem recorrer às configurações de dispositivos individuais - os roteadores já veem apenas o resultado da lógica que foi formada na interface vManage e transferida para ser aplicada ao vSmart.
Cadeia de serviço
A formação de cadeias de serviço é uma tarefa ainda mais trabalhosa no roteamento clássico do que o mecanismo de Engenharia de Tráfego já descrito. De fato, neste caso, é necessário não apenas formar uma certa rota especial para um aplicativo de rede específico, mas também fornecer a capacidade de enviar tráfego da rede para determinados (ou todos) nós da rede SD-WAN para processamento por um aplicativo ou serviço especial (ITU, Balanceamento, Cache, Inspeção tráfego, etc.). Ao mesmo tempo, é necessário ser capaz de monitorar o estado desses serviços externos a fim de evitar situações de black-holing, e mecanismos também são necessários para colocar esses serviços externos do mesmo tipo em diferentes geolocalização, com a capacidade da rede de selecionar automaticamente o nó de serviço mais ideal para processar o tráfego de um ramo específico. ...No caso do Cisco SD-WAN, isso é muito fácil de conseguir criando uma política centralizada apropriada que "cola" todos os aspectos da cadeia de serviço de destino em um único todo e muda automaticamente o plano de dados e a lógica do plano de controle apenas onde e quando for necessário.
A capacidade de formar processamento geo-distribuído de tráfego de tipos selecionados de aplicativos em uma determinada sequência em equipamentos especializados (mas não relacionados à própria rede SD-WAN) é talvez a demonstração mais vívida das vantagens do Cisco SD-WAN sobre tecnologias clássicas e até mesmo algumas soluções SD alternativas -WAN de outros fabricantes.
Qual é o resultado final?
Obviamente, o DMVPN (com ou sem roteamento de desempenho) e o Cisco SD-WAN resolvem problemas muito semelhantes em relação à rede WAN distribuída da organização. Ao mesmo tempo, diferenças arquitetônicas e funcionais significativas da tecnologia Cisco SD-WAN elevam o processo de solução desses problemas a um nível de qualidade diferente . Em resumo, as seguintes diferenças significativas entre as tecnologias SD-WAN e DMVPN / PfR podem ser observadas:
- DMVPN/PfR VPN data-plane SD-WAN , Hub-n-Spoke. , DMVPN/PfR , SD-WAN ( per-application BFD).
- control-plane . SD-WAN , , «» – . - ( ) .
- SD-WAN DMVPN/PfR – -, Hub, , .
- . DMVPN , - , . SD-WAN , « » , « » – , data-plane , / .
- , SD-WAN DMVPN/PfR, CLI NMS .
- SD-WAN DMVPN . – , .
A partir dessas conclusões simples, pode-se ter a impressão errada de que a criação de uma rede baseada em DMVPN / PfR perdeu toda a relevância hoje. Isso certamente não é totalmente verdade. Por exemplo, nos casos em que muitos equipamentos legados são usados na rede e não há como substituí-los, o DMVPN pode permitir a combinação de dispositivos "antigos" e "novos" em uma única rede geo-distribuída com muitos dos benefícios descritos acima.
Por outro lado, deve-se lembrar que todos os roteadores corporativos atuais da Cisco baseados em IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) hoje suportam qualquer modo de operação - tanto o roteamento clássico quanto DMVPN e SD-WAN -a escolha é determinada pelas necessidades atuais e pelo entendimento de que a qualquer momento no mesmo equipamento é possível começar a caminhar para uma tecnologia mais avançada.