Di sini Anda harus segera membuat reservasi bahwa sebelum munculnya SD-WAN di portofolio Cisco, DMVPN bersama dengan PfR merupakan bagian penting dalam arsitektur Cisco IWAN (Intelligent WAN)yang pada gilirannya mewakili pendahulu untuk teknologi SD-WAN yang lengkap. Terlepas dari kesamaan umum dari masalah yang sedang dipecahkan dan metode untuk menyelesaikannya, IWAN belum menerima tingkat otomatisasi, fleksibilitas dan skalabilitas yang diperlukan untuk SD-WAN, dan seiring waktu, perkembangan IWAN telah menurun secara signifikan. Pada saat yang sama, teknologi itu sendiri yang membentuk IWAN tidak kemana-mana, dan banyak pelanggan terus berhasil menggunakannya, termasuk pada peralatan modern. Akibatnya, situasi yang menarik berkembang - peralatan Cisco yang sama memungkinkan Anda memilih teknologi WAN yang paling sesuai (klasik, DMVPN + PfR atau SD-WAN) sesuai dengan kebutuhan dan harapan pelanggan.
Artikel ini tidak bermaksud untuk menganalisis secara rinci semua fitur teknologi Cisco SD-WAN dan DMVPN (dengan atau tanpa Performance Routing) - ada banyak sekali dokumen dan materi yang tersedia untuk ini. Tugas utamanya adalah mencoba menilai perbedaan utama antara teknologi ini. Tapi tetap saja, sebelum melanjutkan membahas perbedaan ini, mari kita ingat secara singkat teknologi itu sendiri.
Apa itu Cisco DMVPN dan Mengapa Dibutuhkan?
Cisco DMVPN memecahkan masalah koneksi dinamis (= skalabel) dari jaringan cabang jarak jauh ke jaringan kantor pusat perusahaan menggunakan jenis saluran komunikasi yang sewenang-wenang, termasuk Internet (= dengan enkripsi saluran komunikasi). Secara teknis, ini dilakukan dengan membuat hamparan virtual L3 VPN dalam mode point-to-multipoint dengan topologi logis jenis "Star" (Hub-n-Spoke). Untuk melakukan ini, DMVPN menggunakan kombinasi dari teknologi berikut:
- Perutean IP
- Terowongan GRE Multipoint (mGRE)
- Protokol Resolusi Hop Berikutnya (NHRP)
- Profil Kripto IPSec
Apa keuntungan utama Cisco DMVPN dibandingkan dengan perutean klasik menggunakan saluran VPN MPLS?
- โ , IP- , ( ) ( )
- . โ , โ ( )
- IP- . mGRE , . , .
Cisco Performance Routing ?
Saat menggunakan DMVPN di jaringan antar cabang, satu pertanyaan yang sangat penting masih belum terselesaikan - bagaimana cara menilai secara dinamis status setiap terowongan DMVPN untuk kepatuhan dengan persyaratan lalu lintas yang penting bagi organisasi kami dan, sekali lagi, berdasarkan penilaian ini, secara dinamis membuat keputusan pengubahan rute? Faktanya adalah bahwa DMVPN di bagian ini tidak jauh berbeda dari perutean klasik - hal terbaik yang dapat dilakukan adalah mengonfigurasi mekanisme QoS, yang akan memungkinkan memprioritaskan lalu lintas ke arah keluar, tetapi sama sekali tidak dapat memperhitungkan keadaan seluruh jalur pada satu waktu atau lainnya.
Dan apa yang harus dilakukan jika saluran menurun sebagian, tetapi tidak sepenuhnya - bagaimana cara mendeteksi dan mengevaluasinya? DMVPN sendiri tidak dapat melakukan ini. Mengingat saluran yang menghubungkan cabang dapat melewati operator telekomunikasi yang sangat berbeda dengan menggunakan teknologi yang sangat berbeda, tugas ini menjadi sangat tidak sepele. Di sinilah teknologi Cisco Performance Routing hadir untuk menyelamatkan, yang pada saat itu telah melalui beberapa tahap pengembangan.
Tugas Cisco Performance Routing (selanjutnya disebut PfR) bermuara pada pengukuran status jalur (terowongan) arus lalu lintas berdasarkan metrik kunci yang penting untuk aplikasi jaringan - penundaan, variasi penundaan (jitter) dan paket loss (dalam persen)... Selain itu, bandwidth yang digunakan dapat diukur. Pengukuran ini dilakukan sedekat mungkin dengan waktu nyata dan dijamin, dan hasil dari pengukuran ini memungkinkan router yang menggunakan PfR untuk secara dinamis membuat keputusan tentang kebutuhan untuk mengubah perutean dari jenis lalu lintas tertentu.
Dengan demikian, masalah penggabungan DMVPN / PfR secara singkat dapat dijelaskan sebagai berikut:
- Izinkan pelanggan untuk menggunakan saluran komunikasi apa pun di jaringan WAN
- Pastikan kualitas aplikasi kritis setinggi mungkin di saluran ini
Apa itu Cisco SD-WAN?
Cisco SD-WAN adalah teknologi yang menggunakan pendekatan SDN untuk membangun dan mengoperasikan WAN organisasi. Secara khusus, ini berarti penggunaan apa yang disebut pengontrol (elemen perangkat lunak), yang menyediakan orkestrasi terpusat dan konfigurasi otomatis dari semua komponen solusi. Berbeda dengan SDN kanonik (gaya Clean Slate), Cisco SD-WAN menggunakan beberapa jenis pengontrol sekaligus, yang masing-masing menjalankan perannya sendiri - ini dilakukan dengan sengaja untuk memberikan skalabilitas dan geo-redundansi yang lebih baik.
Dalam kasus SD-WAN, tugas untuk menggunakan semua jenis saluran dan memastikan pengoperasian aplikasi bisnis tetap ada, tetapi pada saat yang sama, persyaratan untuk otomatisasi, skalabilitas, keamanan, dan fleksibilitas jaringan tersebut meningkat.
Diskusi perbedaan
Jika sekarang kita mulai menganalisis perbedaan antara teknologi ini, maka mereka akan termasuk dalam salah satu kategori:
- Perbedaan arsitektural - bagaimana fungsi didistribusikan di antara berbagai komponen solusi, bagaimana interaksi komponen-komponen tersebut diatur, dan bagaimana hal ini memengaruhi kapabilitas dan fleksibilitas teknologi?
- Fungsionalitas - apa yang bisa dilakukan satu teknologi tetapi tidak bisa yang lain? Dan apakah itu sangat penting?
Apa perbedaan arsitektural, dan apakah itu benar-benar penting?
Setiap teknologi yang ditunjuk memiliki banyak "bagian yang bergerak", yang berbeda tidak hanya dalam perannya, tetapi juga dalam prinsip interaksi satu sama lain. Skalabilitas, toleransi kesalahan, dan efisiensi keseluruhan dari solusi secara langsung bergantung pada seberapa baik pemikiran prinsip-prinsip ini dan mekanisme umum solusi.
Mari pertimbangkan berbagai aspek arsitektur secara lebih rinci:
Data-plane adalah bagian dari solusi yang bertanggung jawab untuk mentransfer lalu lintas pengguna antara sumber dan tujuan. Di DMVPN dan SD-WAN, umumnya diterapkan dengan cara yang sama pada router itu sendiri berdasarkan terowongan GRE Multipoint. Perbedaannya adalah bagaimana kumpulan parameter yang diperlukan untuk terowongan ini terbentuk:
- DMVPN/PfR โ ยซยป Hub-n-Spoke. Hub Spoke Hub, NHRP data-plane . , Hub, , / WAN- .
- di SD-WAN , ini adalah model yang sepenuhnya dinamis untuk menemukan parameter terowongan yang ditetapkan berdasarkan bidang kontrol (protokol OMP) dan bidang orkestrasi (interaksi dengan pengontrol vBond untuk penemuan pengontrol dan tugas traversal NAT). Dalam hal ini, topologi yang ditumpangkan bisa berupa apa saja, termasuk yang hierarkis. Dalam topologi terowongan tumpang tindih yang ditetapkan, konfigurasi fleksibel dari topologi logis di setiap VPN (VRF) individu dimungkinkan.
Bidang kontrol - fungsi pertukaran, pemfilteran dan modifikasi perutean dan informasi lain antara komponen solusi.
- DMVPN/PfR โ Hub Spoke. Spoke . , Hub control-plane data-plane, Hub , .
- di SD-WAN , bidang kontrol tidak pernah dilakukan secara langsung di antara router - interaksi didasarkan pada protokol OMP dan harus dilakukan melalui jenis pengontrol vSmart khusus yang terpisah, yang menyediakan kemungkinan penyeimbangan, geo-redundansi, dan kontrol terpusat dari beban pensinyalan. Fitur lain dari protokol OMP adalah ketahanannya yang signifikan terhadap kerugian dan kemandirian dari kecepatan saluran komunikasi dengan pengontrol (dalam batas yang wajar, tentu saja). Ini juga berhasil dalam menghosting pengontrol SD-WAN di cloud publik atau pribadi dengan akses Internet.
Bidang kebijakan - bagian dari solusi yang bertanggung jawab untuk menentukan, mendistribusikan, dan menegakkan kebijakan kontrol lalu lintas pada WAN.
- DMVPN โ (QoS), CLI Prime Infrastructure.
- DMVPN/PfR โ PfR Master Controller (MC) CLI MC. , data-plane. , . IP- Hub Spoke. MC DMVPN . ( ) Prime Infrastructure . โ โ .
- SD-WAN โ Cisco vManage ( ). vSmart ( ). data-plane , .. .
โ , โ , , ..
Bidang orkestrasi - mekanisme yang memungkinkan komponen menemukan satu sama lain secara dinamis, mengonfigurasi, dan mengoordinasikan interaksi selanjutnya.
- di DMVPN / PfR, penemuan bersama oleh router didasarkan pada konfigurasi statis perangkat Hub dan konfigurasi perangkat Spoke yang sesuai. Penemuan dinamis hanya terjadi untuk Spoke, yang mengkomunikasikan parameter koneksi Hub ke perangkat, yang pada gilirannya telah dikonfigurasi sebelumnya dalam konfigurasi Spoke. Tanpa konektivitas IP, Spoke dengan setidaknya satu Hub tidak dapat membentuk bidang data atau bidang kontrol.
- SD-WAN vBond, ( vManage/vSmart) IP-.
โ - vBond. โ ( ) vBond, vBond vManage vSmart ( ), .
Pada langkah berikutnya, router baru mempelajari tentang router lainnya di jaringan melalui pertukaran OMP dengan pengontrol vSmart. Dengan demikian, router, yang awalnya tidak mengetahui apa-apa tentang parameter jaringan, dapat secara otomatis mendeteksi dan menyambung ke pengontrol dan kemudian secara otomatis mendeteksi dan membentuk konektivitas dengan router lain. Pada saat yang sama, parameter koneksi dari semua komponen awalnya tidak diketahui dan dapat berubah selama pengoperasian.
Bidang manajemen adalah bagian dari solusi yang menyediakan pengelolaan dan pemantauan terpusat.
- DMVPN/PfR โ management-plane . , Cisco Prime Infrastructure. CLI. API .
- SD-WAN โ vManage. vManage, REST API.
SD-WAN vManage โ (Device Template) , . vManage, , / , .
vManage Cisco SD-WAN, DPI .
, ( ) CLI, . ( ) , โ vManage.
Keamanan terintegrasi - di sini kita tidak hanya berbicara tentang melindungi data pengguna selama transmisi melalui saluran terbuka, tetapi juga tentang keamanan keseluruhan jaringan WAN berdasarkan teknologi yang dipilih.
- DMVPN/PfR . , IPS/IDS. VRF. () .
- โ .. , , . - SD-WAN DMVPN , L3/VRF (, IPS/IDS, URL-, DNS-, AMP/TG, SASE, TLS/SSL proxy ..). vSmart ( ), , DTLS/TLS . .
(-, ) DTLS/TLS. /. / SD-WAN :
- ยซยป .
SD-WAN DMVPN/PfR
Beranjak ke pembahasan perbedaan fungsional, perlu dicatat bahwa banyak di antaranya merupakan kelanjutan dari arsitektur - bukan rahasia lagi bahwa ketika membentuk arsitektur solusi, pengembang memulai dari kemampuan yang mereka inginkan pada akhirnya. Mari kita pertimbangkan perbedaan paling signifikan antara kedua teknologi tersebut.
AppQ (Application Quality) - berfungsi untuk memastikan kualitas transmisi lalu lintas aplikasi bisnis
Fungsi utama dari teknologi ini ditujukan untuk meningkatkan pengalaman pengguna sebanyak mungkin saat menggunakan aplikasi bisnis penting dalam jaringan terdistribusi. Ini terutama penting dalam kondisi di mana sebagian infrastruktur tidak dikendalikan oleh TI atau bahkan tidak menjamin transfer data berhasil.
DMVPN tidak menyediakan mekanisme seperti itu sendiri. Hal terbaik yang dapat dilakukan dalam jaringan DMVPN klasik adalah mengklasifikasikan lalu lintas keluar berdasarkan aplikasi dan memprioritaskannya ke arah tautan WAN. Pilihan terowongan DMVPN dalam kasus ini hanya karena ketersediaannya dan hasil dari protokol perutean. Pada saat yang sama, status ujung-ke-ujung dari jalur / terowongan dan kemungkinan degradasi parsial dari sudut pandang metrik utama yang signifikan untuk aplikasi jaringan - penundaan, variasi penundaan (jitter) dan kerugian (%) tidak diperhitungkan. Dalam hal ini, tidak masuk akal untuk secara langsung membandingkan DMVPN klasik dengan SD-WAN dalam hal penyelesaian masalah AppQ - DMVPN tidak dapat menyelesaikan masalah ini. Ketika teknologi Cisco Performance Routing (PfR) ditambahkan ke konteks ini, situasinya berubah dan perbandingan dengan Cisco SD-WAN menjadi lebih tepat.
Sebelum melanjutkan untuk membahas perbedaannya, berikut ringkasan singkat tentang bagaimana teknologinya serupa. Jadi, kedua teknologi tersebut:
- memiliki mekanisme yang memungkinkan Anda untuk menilai secara dinamis status setiap terowongan yang ditetapkan dalam konteks metrik tertentu - setidaknya penundaan, variasi penundaan, dan kehilangan paket (%)
- menggunakan seperangkat alat tertentu untuk pembentukan, distribusi dan penerapan aturan kontrol lalu lintas (kebijakan), dengan mempertimbangkan hasil pengukuran keadaan metrik utama terowongan.
- mengklasifikasikan lalu lintas aplikasi pada lapisan L3-L4 (DSCP) dari model OSI atau tanda tangan aplikasi L7 berdasarkan mekanisme DPI yang dibangun ke dalam router
- memungkinkan aplikasi penting untuk menentukan nilai ambang batas yang dapat diterima dari metrik, aturan untuk transmisi lalu lintas secara default, aturan untuk merutekan ulang lalu lintas ketika nilai ambang terlampaui.
- GRE/IPSec DSCP GRE/IPSEC , QoS ( SLA).
SD-WAN DMVPN/PfR?
DMVPN/PfR
- , (Probes). โ , ( ).
- โ .
- . DMVPN/PfR .
- PfR TCA (Threshold Crossing Alert) , , , TCA-. , .
SD-WAN
- BFD echo-. TCA โ . .
- BFD .
- BFD . . WAN- MPLS L2/L3 VPN QoS SLA โ DSCP- BFD ( IPSec/GRE) , . BFD - . Cisco SD-WAN BFD, BFD DSCP- ( ).
- BFD , . SD-WAN , MTU TCP MSS Adjust, .
- SD-WAN QoS L3 DSCP , L2 CoS , โ , IP-
, AppQ ?
DMVPN/PfR:
- (-) () CLI CLI- . CLI- .
- / .
- .
- , , .
- . , . / .
- , .
- , WAN- , .
SD-WAN:
- vManage .
- , , , .
- ()
- , / vSmart โ data-plane . IP- .
- , , , , :
- FEC (Forward Error Correction) โ . , FEC . , .
- Duplikasi aliran data - Selain FEC, kebijakan dapat menyediakan duplikasi otomatis lalu lintas aplikasi yang dipilih jika terjadi tingkat kerugian yang lebih parah yang tidak dapat dikompensasikan dengan menggunakan FEC. Dalam hal ini, data yang dipilih akan dikirim melalui semua terowongan menuju cabang penerima dengan de-duplikasi berikutnya (membuang salinan paket yang tidak perlu). Mekanisme tersebut secara signifikan meningkatkan pemanfaatan saluran, tetapi juga secara signifikan meningkatkan keandalan transmisi.
- FEC (Forward Error Correction) โ . , FEC . , .
Kemampuan Cisco SD-WAN, tidak ada analog langsung di DMVPN / PfR
Arsitektur solusi Cisco SD-WAN, dalam beberapa kasus, memungkinkan Anda mendapatkan peluang, yang penerapannya dalam DMVPN / PfR sangat sulit, atau tidak praktis karena biaya tenaga kerja yang diperlukan, atau bahkan tidak mungkin. Mari pertimbangkan yang paling menarik dari mereka:
Rekayasa Lalu Lintas (TE)
TE mencakup mekanisme yang memungkinkan lalu lintas dialihkan dari jalur standar yang dibentuk oleh protokol perutean. TE sering digunakan untuk menyediakan layanan jaringan dengan ketersediaan tinggi, karena kemampuan untuk dengan cepat dan / atau memajukan lalu lintas penting ke jalur transmisi alternatif (tidak tumpang tindih) untuk memberikan kualitas layanan yang lebih baik atau kecepatan pemulihannya jika terjadi kegagalan pada jalur utama.
Kompleksitas implementasi TE terletak pada kebutuhan untuk menghitung dan mencadangkan (memeriksa) jalur alternatif terlebih dahulu. Dalam jaringan MPLS operator telekomunikasi, masalah ini diselesaikan dengan menggunakan teknologi seperti MPLS Traffic-Engineering dengan ekstensi protokol IGP dan protokol RSVP. Juga baru-baru ini, teknologi Perutean Segmen, yang lebih dioptimalkan untuk konfigurasi dan orkestrasi terpusat, semakin populer. Dalam jaringan WAN klasik, teknologi ini, sebagai suatu peraturan, tidak diwakili atau direduksi menjadi penggunaan mekanisme hop-by-hop seperti Policy-Based Routing (PBR), yang mampu untuk lalu lintas cabang, tetapi menerapkan ini pada setiap router secara terpisah - tanpa memperhitungkan keseluruhan keadaan jaringan atau hasil PBR pada langkah sebelumnya atau selanjutnya.Hasil dari penggunaan opsi TE ini mengecewakan - MPLS TE, karena kompleksitas konfigurasi dan operasi, digunakan, sebagai aturan, hanya di bagian paling kritis dari jaringan (inti), dan PBR digunakan pada router individual tanpa kemampuan untuk membentuk kebijakan PBR terpadu tertentu di seluruh jaringan. Jelas, ini juga berlaku untuk jaringan yang berbasis DMVPN.
Dalam hal ini, SD-WAN menawarkan solusi yang jauh lebih elegan yang tidak hanya mudah dikonfigurasi, tetapi juga berskala jauh lebih baik. Ini adalah hasil dari arsitektur bidang kontrol dan bidang kebijakan yang digunakan. Implementasi bidang kebijakan SD-WAN memungkinkan definisi kebijakan TE terpusat - lalu lintas apa yang menarik? untuk VPN yang mana? melalui node / terowongan manakah yang diperlukan atau, sebaliknya, dilarang membentuk rute alternatif? Pada gilirannya, sentralisasi kontrol bidang kontrol berdasarkan pengontrol vSmart memungkinkan Anda untuk mengubah hasil perutean tanpa menggunakan pengaturan perangkat individu - router sudah melihat hanya hasil dari logika yang dibentuk di antarmuka vManage dan ditransfer untuk digunakan ke vSmart.
Perangkaian layanan
Pembentukan rantai layanan adalah tugas yang bahkan lebih melelahkan dalam perutean klasik daripada mekanisme Rekayasa Lalu Lintas yang telah dijelaskan. Memang, dalam hal ini, diperlukan tidak hanya untuk membentuk rute khusus tertentu untuk aplikasi jaringan tertentu, tetapi juga untuk menyediakan kemampuan untuk menghasilkan lalu lintas dari jaringan pada node tertentu (atau sama sekali) dari jaringan SD-WAN untuk diproses oleh aplikasi atau layanan khusus (ITU, Balancing, Caching, Inspeksi) lalu lintas, dll.). Pada saat yang sama, perlu untuk dapat mengontrol status layanan eksternal ini untuk mencegah situasi lubang hitam, dan mekanisme juga diperlukan untuk menempatkan layanan eksternal dengan jenis yang sama di lokasi geografis yang berbeda dengan kemampuan jaringan untuk secara otomatis memilih node layanan yang paling optimal untuk memproses lalu lintas satu cabang atau lainnya. ...Dalam kasus Cisco SD-WAN, ini cukup mudah dicapai dengan membuat kebijakan terpusat yang sesuai yang "merekatkan" semua aspek rantai layanan target menjadi satu kesatuan dan secara otomatis mengubah logika bidang data dan bidang kontrol hanya di tempat dan saat diperlukan.
Kemampuan untuk membentuk pemrosesan lalu lintas terdistribusi geografis dari jenis aplikasi yang dipilih dalam urutan tertentu pada peralatan khusus (tetapi tidak terkait dengan jaringan SD-WAN itu sendiri) mungkin merupakan demonstrasi paling jelas dari keunggulan Cisco SD-WAN dibandingkan teknologi klasik dan bahkan beberapa solusi SD alternatif -WAN dari produsen lain.
Apa intinya?
Jelas, baik DMVPN (dengan atau tanpa Performance Routing) dan Cisco SD-WAN pada akhirnya memecahkan masalah yang sangat mirip dalam kaitannya dengan jaringan WAN terdistribusi organisasi. Pada saat yang sama, perbedaan arsitektur dan fungsional yang signifikan dari teknologi Cisco SD-WAN membawa proses pemecahan masalah ini ke tingkat kualitas yang berbeda . Singkatnya, perbedaan signifikan berikut antara teknologi SD-WAN dan DMVPN / PfR dapat dicatat:
- DMVPN/PfR VPN data-plane SD-WAN , Hub-n-Spoke. , DMVPN/PfR , SD-WAN ( per-application BFD).
- control-plane . SD-WAN , , ยซยป โ . - ( ) .
- SD-WAN DMVPN/PfR โ -, Hub, , .
- . DMVPN , - , . SD-WAN , ยซ ยป , ยซ ยป โ , data-plane , / .
- , SD-WAN DMVPN/PfR, CLI NMS .
- SD-WAN DMVPN . โ , .
Dari kesimpulan sederhana ini, orang mungkin mendapat kesan yang salah bahwa pembuatan jaringan berdasarkan DMVPN / PfR telah kehilangan semua relevansinya saat ini. Ini tentu tidak sepenuhnya benar. Misalnya, dalam kasus di mana banyak peralatan lawas digunakan di jaringan dan tidak ada cara untuk menggantinya, DMVPN dapat memungkinkan penggabungan perangkat "lama" dan "baru" ke dalam satu jaringan terdistribusi geografis dengan banyak manfaat yang dijelaskan di atas.
Di sisi lain, harus diingat bahwa semua router perusahaan Cisco saat ini berdasarkan IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) saat ini mendukung mode operasi apa pun - baik perutean klasik maupun DMVPN dan SD-WAN -pilihan ditentukan oleh kebutuhan saat ini dan pemahaman bahwa pada setiap saat dengan peralatan yang sama dimungkinkan untuk mulai bergerak menuju teknologi yang lebih maju.