Clever Geek Handbook

思科SD-WAN是否会切断DMVPN所在的分支?

自2017年8月思科收购Viptela以来,思科SD-WAN已成为提供的主要分布式企业网络技术。在过去的三年中,SD-WAN技术发生了许多变化,包括定性和定量方面。这极大地扩展了功能和支持,这些功能和支持出现在Cisco ISR 1000,ISR 4000,ASR 1000和虚拟CSR 1000v系列的经典路由器上。同时,许多思科客户和合作伙伴继续提出这个问题-思科SD-WAN与基于思科DMVPN思科性能路由等技术的已经熟悉的方法之间有何区别?这些区别有多重要?







在这里,您应该立即做出保留,即在SD-WAN出现在Cisco产品组合中之前,DMVPN和PfR一起构成Cisco IWAN(智能WAN)架构的关键部分反过来又代表了成熟的SD-WAN技术的前身。尽管要解决的问题和解决方法在总体上都相似,但是IWAN尚未达到SD-WAN所需的自动化,灵活性和可伸缩性水平,并且随着时间的流逝,IWAN的发展已大大减少。同时,构成IWAN的技术本身并没有消失,许多客户继续成功使用它们,包括在现代设备上。结果,出现了一种有趣的情况-相同的Cisco设备使您可以根据客户的要求和期望选择最合适的WAN技术(经典,DMVPN + PfR或SD-WAN)。



本文无意详细分析Cisco SD-WAN和DMVPN技术(具有或不具有性能路由)的所有功能-有大量可用的文档和材料。主要任务是尝试评估这些技术之间的关键差异。但是,在继续讨论这些差异之前,让我们简要回顾一下技术本身。



什么是思科DMVPN,为什么需要它?



Cisco DMVPN解决了使用任意类型的通信通道(包括Internet(带有通信通道的加密))将远程分支网络动态(=可伸缩)连接到企业中心办公室网络的问题。从技术上讲,这是通过在点对多点模式下创建具有“星形”类型(Hub-n-Spoke)逻辑拓扑的L3 VPN类的虚拟化覆盖网络来实现的。为此,DMVPN使用以下技术的组合:



  • IP路由
  • 多点GRE隧道(mGRE)
  • 下一跳解析协议(NHRP)
  • IPSec加密配置文件






与使用MPLS VPN通道的经典路由相比,Cisco DMVPN的主要优势是什么?



  • – , IP- , ( ) ( )
  • . – , – ( )
  • IP- . mGRE , . , .


Cisco Performance Routing ?



在分支机构间网络上使用DMVPN时,仍然需要解决一个非常重要的问题-如何动态评估每个DMVPN隧道的状态是否符合对我们组织至关重要的流量需求,并且再次基于此评估,动态地做出重新路由的决定?事实是DMVPN在这部分与传统路由没有太大区别-最好的办法是配置QoS机制,这将允许对传出方向上的流量进行优先级排序,但决不能一次或一次考虑整个路径的状态。



如果通道部分(而非完全)退化,该怎么办-如何检测和评估它? DMVPN本身无法执行此操作。考虑到连接分支机构的通道可以使用完全不同的技术通过完全不同的电信运营商,因此这一任务变得极为艰巨。这就是思科性能路由技术的得力助手,到那时它已经经历了几个开发阶段。







思科性能路由(以下称为PfR)的任务归结为根据对网络应用重要的关键指标-延迟,延迟变化(抖动)和数据包丢失(以百分比表示)测量通信流路径(隧道)的状态。... 另外,可以测量所使用的带宽。这些测量尽可能接近实时进行并保证,并且这些测量的结果使使用PfR的路由器可以动态地做出有关更改特定流量类型路由的需求的决策。



因此,结合DMVPN / PfR的问题可以简述如下:



  • 允许客户使用WAN网络上的任何通信渠道
  • 确保这些通道上关键应用程序的最高质量


什么是思科SD-WAN?



思科SD-WAN是一种使用SDN方法来构建和运营组织的WAN的技术。特别是,这意味着使用所谓的控制器(软件元素),这些控制器可为所有解决方案组件提供集中的编排和自动配置。与规范的SDN(Clean Slate样式)不同,Cisco SD-WAN一次使用多种类型的控制器,每种控制器都扮演自己的角色-故意这样做是为了提供更好的可伸缩性和地理冗余。







对于SD-WAN,仍然保留使用所有类型的通道并确保业务应用程序运行的任务,但与此同时,对此类网络的自动化,可扩展性,安全性和灵活性的要求也有所提高。



差异讨论



如果我们现在开始分析这些技术之间的差异,那么它们将属于以下类别之一:



  • 架构差异-功能如何在解决方案的各个组件之间分配,如何组织这些组件之间的交互作用,以及这如何影响技术的功能和灵活性?
  • 功能-一种技术不能做的另一种?它是如此重要吗?


架构上有什么区别,它们真的很重要吗?



每种指定的技术都有许多“运动部件”,它们不仅作用不同,而且相互之间的相互作用原理也不同。解决方案的可伸缩性,容错能力和整体效率直接取决于对这些原理和解决方案的一般原理的考虑。



让我们更详细地考虑体系结构的各个方面:



数据平面是解决方案的一部分,负责在源和目的地之间传输用户流量。在DMVPN和SD-WAN中,基于多点GRE隧道的路由器本身的实现通常相同。区别在于如何形成这些隧道所需的参数集:



  • DMVPN/PfR – «» Hub-n-Spoke. Hub Spoke Hub, NHRP data-plane . , Hub, , / WAN- .
  • SD-WAN中,它是一个完全动态的模型,用于基于控制平面(OMP协议)和编排平面(与vBond控制器交互以进行控制器发现和NAT遍历任务)发现已建立隧道的参数。在这种情况下,叠加的拓扑可以是任何拓扑,包括分层拓扑。在已建立的叠加隧道拓扑中,可以在每个单独的VPN(VRF)中灵活配置逻辑拓扑。








控制平面-解决方案组件之间交换,过滤和修改路由及其他信息的功能。



  • DMVPN/PfR – Hub Spoke. Spoke . , Hub control-plane data-plane, Hub , .
  • SD-WAN中-控制平面永远不会直接在路由器之间执行-交互基于OMP协议,并且必须通过单独的专用vSmart控制器类型进行,这提供了平衡,地理冗余和集中控制信令负载的可能性。OMP协议的另一个功能是它具有显着的抗丢失性,并且与控制器之间的通信通道速度无关(当然,在合理范围内)。同样成功地将SD-WAN控制器放置在具有Internet访问权限的公共或私有云中。








策略平面-解决方案的一部分,负责在WAN上定义,分发和实施流量控制策略。



  • DMVPN – (QoS), CLI Prime Infrastructure.
  • DMVPN/PfR – PfR Master Controller (MC) CLI MC. , data-plane. , . IP- Hub Spoke. MC DMVPN . ( ) Prime Infrastructure . — – .
  • SD-WAN – Cisco vManage ( ). vSmart ( ). data-plane , .. .



    – , – , , ..









编排平面-允许组件动态发现彼此,配置和协调后续交互的机制。



  • DMVPN / PfR中,路由器的相互发现基于集线器设备的静态配置和Spoke设备的相应配置。动态发现仅针对Spoke进行,Spoke将其集线器连接参数传达给设备,而设备又在Spoke配置中进行了预配置。如果没有IP连接,则具有至少一个集线器的分支无法形成数据平面或控制平面。
  • SD-WAN vBond, ( vManage/vSmart) IP-.



    – - vBond. – ( ) vBond, vBond vManage vSmart ( ), .



    在下一步中,新路由器通过与vSmart控制器的OMP交换了解网络中的其余路由器。因此,最初完全不了解网络参数的路由器能够完全自动检测并连接到控制器,然后能够自动检测并与其他路由器建立连接。同时,所有组件的连接参数最初都是未知的,并且在操作过程中可能会更改。









管理平面是提供集中管理和监视的解决方案的一部分。



  • DMVPN/PfR – management-plane . , Cisco Prime Infrastructure. CLI. API .
  • SD-WAN – vManage. vManage, REST API.



    SD-WAN vManage – (Device Template) , . vManage, , / , .



    vManage Cisco SD-WAN, DPI .



    , ( ) CLI, . ( ) , – vManage.


集成的安全性-在这里,我们不仅应该讨论在开放信道上传输时保护用户数据的问题,而且还应该讨论基于所选技术的WAN网络的整体安全性。



  • DMVPN/PfR . , IPS/IDS. VRF. () .



    - – .. , , .
  • SD-WAN DMVPN , L3/VRF (, IPS/IDS, URL-, DNS-, AMP/TG, SASE, TLS/SSL proxy ..). vSmart ( ), , DTLS/TLS . .



    (-, ) DTLS/TLS. /. / SD-WAN :



    • «» .










SD-WAN DMVPN/PfR



继续讨论功能差异时,应该指出的是,它们之间的许多差异是体系结构差异的延续-精湛的解决方案构架方案是,开发人员从最终获得的功能开始。让我们考虑两种技术之间最显着的差异。



AppQ(应用程序质量)-确保业务应用程序的流量传输质量的功能



这些技术的关键功能旨在在分布式网络中使用关键业务应用程序时,尽可能改善用户体验。在部分基础架构不受IT控制甚至无法保证成功进行数据传输的情况下,这一点尤其重要。



DMVPN本身不提供这种机制。在经典的DMVPN网络中,最好的办法是按应用对传出的流量进行分类,并按WAN链接的方向对其进行优先排序。在这种情况下,DMVPN隧道的选择仅是由于其可用性和路由协议的结果。同时,从对网络应用重要的关键指标的角度出发,不考虑路径/隧道的端到端状态及其可能的部分降级-延迟,延迟变化(抖动)和损耗(%)。在这方面,就解决AppQ问题而言,直接将经典DMVPN与SD-WAN进行比较是没有意义的-DMVPN无法解决此问题。通过在此上下文中添加Cisco Performance Routing(PfR)技术,情况发生了变化,并且与Cisco SD-WAN的比较变得更加合适。



在继续讨论差异之前,这里简要概述了这些技术的相似之处。因此,两种技术:



  • 具有一种机制,可让您根据某些指标动态评估每个已建立隧道的状态-至少延迟,延迟变化和丢包率(%)
  • 考虑到测量隧道关键指标状态的结果,使用一组特定的工具来形成,分配和应用流量控制规则(策略)。
  • 根据路由器内置的DPI机制,将OSI模型的L3-L4层(DSCP)或L7应用程序签名的应用程序流量分类
  • 允许重要的应用程序定义可接受的指标阈值,默认情况下的流量传输规则,超过阈值时重新路由流量的规则。
  • GRE/IPSec DSCP GRE/IPSEC , QoS ( SLA).






SD-WAN DMVPN/PfR?



DMVPN/PfR



  • , (Probes). — , ( ).
  • – .
  • . DMVPN/PfR .
  • PfR TCA (Threshold Crossing Alert) , , , TCA-. , .


SD-WAN



  • BFD echo-. TCA – . .
  • BFD .





  • BFD . . WAN- MPLS L2/L3 VPN QoS SLA — DSCP- BFD ( IPSec/GRE) , . BFD - . Cisco SD-WAN BFD, BFD DSCP- ( ).
  • BFD , . SD-WAN , MTU TCP MSS Adjust, .
  • SD-WAN QoS L3 DSCP , L2 CoS , — , IP-


, AppQ ?



DMVPN/PfR:



  • (-) () CLI CLI- . CLI- .





  • / .
  • .
  • , , .
  • . , . / .
  • , .
  • , WAN- , .


SD-WAN:



  • vManage .
  • , , , .
  • ()
  • , / vSmart – data-plane . IP- .



  • , , , , :



    • FEC (Forward Error Correction) – . , FEC . , .



    • 数据流重复-除FEC之外,该策略还可以在出现严重程度的损失(无法使用FEC进行补偿)的情况下自动复制选定应用程序的流量。在这种情况下,选定的数据将通过所有隧道传输到接收分支,随后进行重复数据删除(丢弃额外的数据包副本)。该机制显着提高了信道利用率,但同时也显着提高了传输可靠性。


思科SD-WAN功能,DMVPN / PfR中没有直接类似物



在某些情况下,Cisco SD-WAN解决方案的体系结构可让您获得机遇,在DMVPN / PfR框架内实施该机遇非常困难,或者由于必要的人工成本而无法实现,或者是完全不可能的。让我们考虑其中最有趣的:



交通工程(TE)



TE包括允许流量从路由协议形成的标准路径转移的机制。由于能够将重要流量快速和/或提前发送到备用(非重叠)传输路径,因此TE通常用于提供网络服务的高可用性,以便在主路径发生故障时提供更好的服务质量或恢复速度。



TE实施的复杂性在于需要预先计算和保留(检查)替代路径。在电信运营商的MPLS网络中,此问题使用诸如具有IGP协议和RSVP协议扩展的MPLS流量工程技术来解决。同样在最近,针对集中式配置和编排进行了更优化的分段路由技术也越来越受欢迎。通常,在传统的WAN网络中,这些技术通常不会被表示或减少为使用逐跳机制,例如基于策略的路由(PBR),它们能够分支流量,但可以在每个路由器上单独实现,而无需考虑网络的整体状态或PBR将导致先前或后续步骤。使用这些TE选项的结果令人失望-MPLS TE由于配置和操作的复杂性,通常仅在网络(核心)的最关键部分使用,而PBR仅用于单个路由器,而无法在整个网络上形成某种统一的PBR策略。显然,这也适用于基于DMVPN的网络。







在这方面,SD-WAN提供了更为优雅的解决方案,不仅易于配置,而且可扩展性更好。这是所使用的控制平面和策略平面体系结构的结果。SD-WAN策略平面实施允许集中式TE策略定义-哪些流量值得关注?哪个VPN?有必要或相反,通过哪些节点/隧道形成替代路由?反过来,基于vSmart控制器的控制面板控制的集中化使您无需使用单个设备的设置即可修改路由结果-路由器已经只能看到在vManage界面中形成并转移到vSmart的逻辑结果。



服务链



与已经描述的流量工程机制相比,在传统路由中,服务链的形成是一项更加费力的任务。实际上,在这种情况下,不仅有必要为特定的网络应用程序形成特定的路由,而且还必须具有将网络流量输出到SD-WAN网络的某些(或所有)节点以由特殊应用程序或服务进行处理(ITU,平衡,缓存,检查)的能力。交通等)。同时,有必要能够控制这些外部服务的状态以防止出现黑洞现象,并且还需要机制将此类相同类型的外部服务放置在不同的地理位置,并具有网络自动选择最佳服务节点以处理特定分支的流量的能力。 ...对于Cisco SD-WAN,通过创建适当的集中策略将目标服务链的所有方面“粘合”在一起,并仅在需要的位置和时间自动更改数据平面和控制平面逻辑,就可以轻松实现这一目标。







在专用(但与SD-WAN网络本身不相关)设备上按特定顺序对选定类型的应用程序的流量进行地理分布式处理的能力,也许最能生动地展示出Cisco SD-WAN与传统技术甚至某些替代SD解决方案相比的优势。 -来自其他制造商的WAN。



底线是什么?



显然,DMVPN(具有或不具有性能路由)和Cisco SD-WAN最终都可以解决与组织的分布式WAN网络相关的非常相似的问题。同时,Cisco SD-WAN技术在架构和功能上的重大差异使解决这些问题的过程达到了不同的质量水平。总而言之,可以注意到SD-WAN与DMVPN / PfR技术之间的以下重要区别:



  • DMVPN/PfR VPN data-plane SD-WAN , Hub-n-Spoke. , DMVPN/PfR , SD-WAN ( per-application BFD).
  • control-plane . SD-WAN , , «» – . - ( ) .
  • SD-WAN DMVPN/PfR – -, Hub, , .
  • . DMVPN , - , . SD-WAN , « » , « » – , data-plane , / .
  • , SD-WAN DMVPN/PfR, CLI NMS .
  • SD-WAN DMVPN . – , .


从这些简单的结论中,可能会产生错误的印象,即基于DMVPN / PfR的网络的创建已经失去了今天的所有意义。当然,这并非完全正确。例如,在网络上使用大量传统设备且无法替换的情况下,DMVPN可以将“旧”和“新”设备组合到单个地理分布网络中,从而具有上述许多优点。



另一方面,应该记住,当前所有基于IOS XE的思科公司路由器(ISR 1000,ISR 4000,ASR 1000,CSR 1000v)今天都支持任何操作模式-经典路由,DMVPN和SD-WAN-选择取决于当前的需求以及对使用同一设备的任何时候都可以开始向更先进技术发展的理解。


More articles:


All Articles