Clever Geek Handbook

¿Cisco SD-WAN cortará la rama en la que se encuentra DMVPN?

Desde agosto de 2017, cuando Cisco adquirió Viptela, Cisco SD-WAN se ha convertido en la principal tecnología de redes empresariales distribuidas que se ofrece . Durante los últimos 3 años, la tecnología SD-WAN ha experimentado muchos cambios, tanto cualitativos como cuantitativos. Esto amplió significativamente la funcionalidad y el soporte aparecido en los enrutadores clásicos de las series Cisco ISR 1000, ISR 4000, ASR 1000 y virtual CSR 1000v . Al mismo tiempo, muchos clientes y socios de Cisco continúan haciendo la pregunta: ¿cuáles son las diferencias entre Cisco SD-WAN y los enfoques ya familiares basados ​​en tecnologías como Cisco DMVPN y Cisco Performance Routing, y qué importancia tienen estas diferencias?







Aquí debe hacer inmediatamente una reserva de que antes de la aparición de SD-WAN en el portafolio de Cisco, DMVPN junto con PfR constituían una parte clave en la arquitectura Cisco IWAN (Intelligent WAN).que a su vez representó el predecesor de la tecnología SD-WAN en toda regla. A pesar de la similitud general de los problemas que se están resolviendo y los métodos para resolverlos, IWAN no ha recibido el nivel de automatización, flexibilidad y escalabilidad necesarios para SD-WAN y, con el tiempo, el desarrollo de IWAN ha disminuido significativamente. Al mismo tiempo, las tecnologías que componen la IWAN en sí mismas no han desaparecido y muchos clientes continúan utilizándolas con éxito, incluso en equipos modernos. Como resultado, se desarrolló una situación interesante: el mismo equipo de Cisco le permite elegir la tecnología WAN más adecuada (clásica, DMVPN + PfR o SD-WAN) de acuerdo con los requisitos y expectativas de los clientes.



El artículo no pretende analizar en detalle todas las características de las tecnologías Cisco SD-WAN y DMVPN (con o sin Performance Routing); hay una gran cantidad de documentos y materiales disponibles para esto. La tarea principal es intentar evaluar las diferencias clave entre estas tecnologías. Pero aún así, antes de pasar a discutir estas diferencias, recordemos brevemente las tecnologías en sí.



¿Qué es Cisco DMVPN y por qué es necesario?



Cisco DMVPN resuelve el problema de la conexión dinámica (= escalable) de una red de sucursales remotas a la red de la oficina central de una empresa utilizando tipos arbitrarios de canales de comunicación, incluido Internet (= con cifrado del canal de comunicación). Técnicamente, esto se logra creando una red superpuesta virtualizada de clase VPN L3 en modo punto a multipunto con una topología lógica del tipo "Star" (Hub-n-Spoke). Para hacer esto, DMVPN usa una combinación de las siguientes tecnologías:



  • Enrutamiento IP
  • Túneles GRE multipunto (mGRE)
  • Protocolo de resolución de próximo salto (NHRP)
  • Perfiles criptográficos IPSec






¿Cuáles son las principales ventajas de Cisco DMVPN en comparación con el enrutamiento clásico que utiliza canales VPN MPLS?



  • – , IP- , ( ) ( )
  • . – , – ( )
  • IP- . mGRE , . , .


Cisco Performance Routing ?



Cuando se usa DMVPN en la red interprofesional, queda sin resolver una pregunta extremadamente importante: ¿cómo evaluar dinámicamente el estado de cada uno de los túneles DMVPN para verificar el cumplimiento de los requisitos de tráfico que son críticos para nuestra organización y, nuevamente, en base a esta evaluación, tomar una decisión de redireccionamiento de manera dinámica? El hecho es que DMVPN en esta parte no es muy diferente del enrutamiento clásico; lo mejor que puede hacer es configurar los mecanismos de QoS que priorizarán el tráfico en la dirección de salida, pero que de ninguna manera pueden tener en cuenta el estado de toda la ruta en un momento u otro.



¿Y qué hacer si el canal se degrada parcialmente, pero no completamente? ¿Cómo detectarlo y evaluarlo? El propio DMVPN no puede hacer esto. Teniendo en cuenta que los canales que conectan sucursales pueden pasar a través de operadores de telecomunicaciones completamente diferentes utilizando tecnologías completamente diferentes, esta tarea se vuelve extremadamente no trivial. Y aquí es donde la tecnología Cisco Performance Routing llega al rescate, que para ese momento ya había pasado por varias etapas de desarrollo.







La tarea de Cisco Performance Routing (en adelante, PfR) se reduce a medir el estado de las rutas (túneles) del tráfico que pasa según las métricas clave importantes para las aplicaciones de red: latencia, variación de retardo (jitter) y pérdida de paquetes (en porcentaje).... Además, se puede medir el ancho de banda utilizado. Estas mediciones se llevan a cabo lo más cerca posible del tiempo real y están garantizadas, y el resultado de estas mediciones permite que un enrutador que usa PfR tome decisiones dinámicamente sobre la necesidad de cambiar el enrutamiento de un tipo particular de tráfico.



Por lo tanto, el problema de combinar DMVPN / PfR se puede describir brevemente de la siguiente manera:



  • Permitir que el cliente utilice cualquier canal de comunicación en la red WAN
  • Garantice la máxima calidad posible de aplicaciones críticas en estos canales


¿Qué es Cisco SD-WAN?



Cisco SD-WAN es una tecnología que utiliza un enfoque SDN para construir y operar la WAN de una organización. En particular, esto significa el uso de los denominados controladores (elementos de software), que proporcionan una orquestación centralizada y una configuración automatizada de todos los componentes de la solución. A diferencia del SDN canónico (estilo Clean Slate), Cisco SD-WAN usa varios tipos de controladores a la vez, cada uno de los cuales desempeña su propia función; esto se hace intencionalmente para proporcionar una mejor escalabilidad y redundancia geográfica.







En el caso de SD-WAN, permanece la tarea de utilizar todo tipo de canales y asegurar el funcionamiento de las aplicaciones comerciales, pero al mismo tiempo, aumentan los requisitos de automatización, escalabilidad, seguridad y flexibilidad de dicha red.



Discusión de diferencias



Si ahora comenzamos a analizar las diferencias entre estas tecnologías, entonces caerán en una de las categorías:



  • Diferencias arquitectónicas: ¿cómo se distribuyen las funciones entre los diversos componentes de la solución, cómo se organiza la interacción de dichos componentes y cómo afecta esto a las capacidades y flexibilidad de la tecnología?
  • Funcionalidad: ¿qué puede hacer una tecnología que no pueda hacer otra? ¿Y es tan importante?


¿Cuáles son las diferencias arquitectónicas y son realmente importantes?



Cada una de las tecnologías designadas tiene muchas "partes móviles", que difieren no solo en su función, sino también en los principios de interacción entre sí. La escalabilidad, la tolerancia a fallas y la eficiencia general de la solución dependen directamente de qué tan bien pensados ​​estos principios y la mecánica general de la solución.



Consideremos varios aspectos de la arquitectura con más detalle:



el plano de datos es una parte de la solución que se encarga de transferir el tráfico de usuarios entre el origen y el destino. En DMVPN y SD-WAN, la implementación es generalmente la misma en los propios enrutadores basados ​​en túneles GRE multipunto. La diferencia es cómo se forma el conjunto de parámetros requerido para estos túneles:



  • DMVPN/PfR – «» Hub-n-Spoke. Hub Spoke Hub, NHRP data-plane . , Hub, , / WAN- .
  • en SD-WAN , es un modelo completamente dinámico para descubrir los parámetros de túneles establecidos basados ​​en el plano de control (protocolo OMP) y el plano de orquestación (interacción con el controlador vBond para el descubrimiento de controladores y tareas transversales de NAT). En este caso, las topologías superpuestas pueden ser cualquiera, incluidas las jerárquicas. Dentro de la topología de túnel superpuesta establecida, es posible una configuración flexible de la topología lógica en cada VPN (VRF) individual.








Plano de control : funciones de intercambio, filtrado y modificación del enrutamiento y otra información entre los componentes de la solución.



  • DMVPN/PfR – Hub Spoke. Spoke . , Hub control-plane data-plane, Hub , .
  • en SD-WAN - el plano de control nunca se lleva a cabo directamente entre enrutadores - la interacción se basa en el protocolo OMP y necesariamente se lleva a cabo a través de un tipo de controlador vSmart especializado separado, que brinda la posibilidad de equilibrio, redundancia geográfica y control centralizado de la carga de señalización. Otra característica del protocolo OMP es su significativa resistencia a pérdidas e independencia de la velocidad del canal de comunicación con los controladores (dentro de límites razonables, por supuesto). Esto es igualmente exitoso al alojar controladores SD-WAN en nubes públicas o privadas con acceso a Internet.








Plano de políticas : la parte de la solución responsable de definir, distribuir y hacer cumplir las políticas de control de tráfico en una WAN.



  • DMVPN – (QoS), CLI Prime Infrastructure.
  • DMVPN/PfR – PfR Master Controller (MC) CLI MC. , data-plane. , . IP- Hub Spoke. MC DMVPN . ( ) Prime Infrastructure . — – .
  • SD-WAN – Cisco vManage ( ). vSmart ( ). data-plane , .. .



    – , – , , ..









Plano de orquestación : mecanismos que permiten que los componentes se descubran dinámicamente entre sí, configuren y coordinen la interacción posterior.



  • en DMVPN / PfR, el descubrimiento mutuo por enrutadores se basa en la configuración estática de los dispositivos Hub y la configuración correspondiente de los dispositivos Spoke. El descubrimiento dinámico ocurre solo para Spoke, que comunica sus parámetros de conexión de Hub al dispositivo, que a su vez está preconfigurado en la configuración de Spoke. Sin conectividad IP, un Spoke con al menos un Hub no puede formar ni un plano de datos ni un plano de control.
  • SD-WAN vBond, ( vManage/vSmart) IP-.



    – - vBond. – ( ) vBond, vBond vManage vSmart ( ), .



    En el siguiente paso, el nuevo enrutador aprende sobre el resto de los enrutadores en la red a través del intercambio OMP con el controlador vSmart. Por lo tanto, el enrutador, que inicialmente no sabe nada sobre los parámetros de la red, es capaz de detectar y conectarse de forma totalmente automática a los controladores y luego también detectar y formar automáticamente la conectividad con otros enrutadores. Al mismo tiempo, los parámetros de conexión de todos los componentes son inicialmente desconocidos y pueden cambiar durante el funcionamiento.









Management-plane es una parte de la solución que proporciona administración y monitoreo centralizados.



  • DMVPN/PfR – management-plane . , Cisco Prime Infrastructure. CLI. API .
  • SD-WAN – vManage. vManage, REST API.



    SD-WAN vManage – (Device Template) , . vManage, , / , .



    vManage Cisco SD-WAN, DPI .



    , ( ) CLI, . ( ) , – vManage.


Seguridad integrada : aquí deberíamos hablar no solo sobre la protección de los datos del usuario durante la transmisión a través de canales abiertos, sino también sobre la seguridad general de la red WAN basada en la tecnología seleccionada.



  • DMVPN/PfR . , IPS/IDS. VRF. () .



    - – .. , , .
  • SD-WAN DMVPN , L3/VRF (, IPS/IDS, URL-, DNS-, AMP/TG, SASE, TLS/SSL proxy ..). vSmart ( ), , DTLS/TLS . .



    (-, ) DTLS/TLS. /. / SD-WAN :



    • «» .










SD-WAN DMVPN/PfR



Pasando a discutir las diferencias funcionales, debe tenerse en cuenta que muchas de ellas son una continuación de las arquitectónicas; no es ningún secreto que al dar forma a la arquitectura de una solución, los desarrolladores parten de las capacidades que desean obtener al final. Consideremos las diferencias más significativas entre las dos tecnologías.



AppQ (Calidad de la aplicación): funciones para garantizar la calidad de la transmisión del tráfico de las aplicaciones comerciales



Las funciones clave de estas tecnologías tienen como objetivo mejorar la experiencia del usuario tanto como sea posible cuando se utilizan aplicaciones críticas para el negocio en una red distribuida. Esto es especialmente importante en condiciones en las que parte de la infraestructura no está controlada por TI o incluso no garantiza una transferencia de datos exitosa.



DMVPN no proporciona tales mecanismos por sí mismo. Lo mejor que se puede hacer en una red DMVPN clásica es clasificar el tráfico saliente por aplicación y priorizarlo en la dirección del enlace WAN. En este caso, la elección de un túnel DMVPN se debe únicamente a su disponibilidad y al resultado de los protocolos de enrutamiento. Al mismo tiempo, el estado de extremo a extremo de la ruta / túnel y su posible degradación parcial desde el punto de vista de las métricas clave que son significativas para las aplicaciones de red: el retardo, la variación del retardo (jitter) y la pérdida (%) no se tienen en cuenta. En este sentido, no tiene sentido comparar directamente el DMVPN clásico con SD-WAN en términos de resolución de problemas de AppQ; DMVPN no puede resolver este problema. Con la incorporación de la tecnología Cisco Performance Routing (PfR) a este contexto, la situación cambia y la comparación con Cisco SD-WAN se vuelve más apropiada.



Antes de pasar a discutir las diferencias, aquí hay un resumen rápido de en qué se parecen las tecnologías. Entonces, ambas tecnologías:



  • tener un mecanismo que le permita evaluar dinámicamente el estado de cada túnel establecido en el contexto de ciertas métricas - al menos retraso, variación del retraso y pérdida de paquetes (%)
  • utilizar un determinado conjunto de herramientas para la formación, distribución y aplicación de reglas (políticas) de control de tráfico, teniendo en cuenta el resultado de medir el estado de las métricas clave de los túneles.
  • clasifica el tráfico de la aplicación en las capas L3-L4 (DSCP) del modelo OSI o las firmas de la aplicación L7 según los mecanismos DPI integrados en el enrutador
  • Permitir que las aplicaciones importantes definan valores umbral aceptables de métricas, reglas para la transmisión de tráfico por defecto, reglas para redireccionar el tráfico cuando se superan los valores umbral.
  • GRE/IPSec DSCP GRE/IPSEC , QoS ( SLA).






SD-WAN DMVPN/PfR?



DMVPN/PfR



  • , (Probes). — , ( ).
  • – .
  • . DMVPN/PfR .
  • PfR TCA (Threshold Crossing Alert) , , , TCA-. , .


SD-WAN



  • BFD echo-. TCA – . .
  • BFD .





  • BFD . . WAN- MPLS L2/L3 VPN QoS SLA — DSCP- BFD ( IPSec/GRE) , . BFD - . Cisco SD-WAN BFD, BFD DSCP- ( ).
  • BFD , . SD-WAN , MTU TCP MSS Adjust, .
  • SD-WAN QoS L3 DSCP , L2 CoS , — , IP-


, AppQ ?



DMVPN/PfR:



  • (-) () CLI CLI- . CLI- .





  • / .
  • .
  • , , .
  • . , . / .
  • , .
  • , WAN- , .


SD-WAN:



  • vManage .
  • , , , .
  • ()
  • , / vSmart – data-plane . IP- .



  • , , , , :



    • FEC (Forward Error Correction) – . , FEC . , .



    • Duplicación de flujos de datos : además de FEC, la política puede proporcionar la duplicación automática del tráfico de aplicaciones seleccionadas en el caso de un nivel de pérdida aún más severo que no se pueda compensar utilizando FEC. En este caso, los datos seleccionados se transmitirán a través de todos los túneles hacia la rama receptora con la posterior deduplicación (descartando copias adicionales de paquetes). El mecanismo aumenta significativamente la utilización de canales, pero también aumenta significativamente la confiabilidad de la transmisión.


Capacidades de Cisco SD-WAN, sin análogos directos en DMVPN / PfR



En algunos casos, la arquitectura de la solución Cisco SD-WAN le permite obtener oportunidades, cuya implementación dentro del marco de DMVPN / PfR es extremadamente difícil o poco práctica debido a los costos laborales necesarios, o es completamente imposible. Consideremos el más interesante de ellos:



Ingeniería de tráfico (TE)



TE incluye mecanismos que permiten desviar el tráfico de la ruta estándar formada por protocolos de enrutamiento. TE se utiliza a menudo para proporcionar alta disponibilidad de servicios de red, debido a la capacidad de hacer avanzar rápidamente y / o hacer avanzar el tráfico importante a una ruta de transmisión alternativa (no superpuesta) a fin de proporcionar una mejor calidad de servicio o velocidad de recuperación en caso de una falla en la ruta principal.



La complejidad de la implementación de TE radica en la necesidad de calcular y reservar (verificar) una ruta alternativa por adelantado. En las redes MPLS de los operadores de telecomunicaciones, este problema se resuelve utilizando tecnologías como MPLS Traffic-Engineering con extensiones de los protocolos IGP y RSVP. También recientemente, la tecnología Segment Routing, que está más optimizada para la configuración y la orquestación centralizadas, está ganando cada vez más popularidad. En las redes WAN clásicas, estas tecnologías, por regla general, no están representadas o se reducen al uso de mecanismos salto a salto como el enrutamiento basado en políticas (PBR), que pueden bifurcar el tráfico, pero implementarlo en cada enrutador por separado, sin tener en cuenta el estado general de la red o el resultado de PBR en los pasos anteriores o posteriores.El resultado de usar estas opciones de TE es decepcionante: MPLS TE, debido a la complejidad de la configuración y el funcionamiento, se usa, por regla general, solo en la parte más crítica de la red (núcleo), y PBR se usa en enrutadores individuales sin la capacidad de formar una cierta política de PBR unificada en toda la red. Obviamente, esto también se aplica a las redes basadas en DMVPN.







SD-WAN en este sentido ofrece una solución mucho más elegante que no solo es fácil de configurar, sino que también es significativamente mejor escalable. Este es el resultado de las arquitecturas de plano de control y plano de política utilizadas. La implementación del plano de políticas SD-WAN permite la definición centralizada de políticas TE: ¿qué tráfico es de interés? para que VPN? ¿a través de qué nodos / túneles es necesario o, por el contrario, está prohibido formar una ruta alternativa? A su vez, la centralización del control del plano de control basado en controladores vSmart le permite modificar los resultados del enrutamiento sin tener que recurrir a la configuración de dispositivos individuales; los enrutadores ya ven solo el resultado de la lógica que se formó en la interfaz vManage y se transfirió para su uso en vSmart.



Encadenamiento de servicios



La formación de cadenas de servicios es una tarea aún más laboriosa en el enrutamiento clásico que el mecanismo de ingeniería de tráfico ya descrito. De hecho, en este caso, es necesario no solo formar una determinada ruta especial para una aplicación de red específica, sino también proporcionar la capacidad de enviar tráfico desde la red a ciertos (o todos) nodos de la red SD-WAN para su procesamiento por una aplicación o servicio especial (ITU, Balanceo, Almacenamiento en caché, Inspección tráfico, etc.). Al mismo tiempo, es necesario poder controlar el estado de estos servicios externos para evitar situaciones de black-holing, y también se necesitan mecanismos para colocar dichos servicios externos del mismo tipo en diferentes geolocalizaciones con la capacidad de la red para seleccionar automáticamente el nodo de servicio más óptimo para procesar el tráfico de una sucursal en particular. ...En el caso de Cisco SD-WAN, esto es bastante fácil de lograr mediante la creación de una política centralizada adecuada que "pegue" todos los aspectos de la cadena de servicio de destino en un solo todo y cambie automáticamente el plano de datos y la lógica del plano de control solo donde y cuando sea necesario.







La capacidad de formar el procesamiento geodistribuido del tráfico de tipos seleccionados de aplicaciones en una secuencia determinada en equipos especializados (pero no relacionados con la red SD-WAN en sí) es quizás la demostración más vívida de las ventajas de Cisco SD-WAN sobre las tecnologías clásicas e incluso algunas soluciones SD alternativas. -WAN de otros fabricantes.



¿Cuál es el resultado final?



Obviamente, tanto DMVPN (con o sin Performance Routing) como Cisco SD-WAN resuelven en última instancia problemas muy similares en relación con la red WAN distribuida de la organización. Al mismo tiempo, las diferencias arquitectónicas y funcionales significativas de la tecnología Cisco SD-WAN llevan el proceso de resolución de estos problemas a un nivel de calidad diferente . En resumen, se pueden observar las siguientes diferencias significativas entre las tecnologías SD-WAN y DMVPN / PfR:



  • DMVPN/PfR VPN data-plane SD-WAN , Hub-n-Spoke. , DMVPN/PfR , SD-WAN ( per-application BFD).
  • control-plane . SD-WAN , , «» – . - ( ) .
  • SD-WAN DMVPN/PfR – -, Hub, , .
  • . DMVPN , - , . SD-WAN , « » , « » – , data-plane , / .
  • , SD-WAN DMVPN/PfR, CLI NMS .
  • SD-WAN DMVPN . – , .


A partir de estas simples conclusiones, puede formarse la impresión errónea de que la creación de una red basada en DMVPN / PfR ha perdido toda relevancia en la actualidad. Ciertamente, esto no es del todo cierto. Por ejemplo, en los casos en que se utiliza una gran cantidad de equipos heredados en la red y no hay forma de reemplazarlos, DMVPN puede permitir la combinación de dispositivos "antiguos" y "nuevos" en una sola red distribuida geográficamente con muchos de los beneficios descritos anteriormente.



Por otro lado, conviene recordar que todos los routers corporativos actuales de Cisco basados ​​en IOS XE (ISR 1000, ISR 4000, ASR 1000, CSR 1000v) admiten hoy cualquier modo de funcionamiento, tanto el enrutamiento clásico como DMVPN y SD-WAN.la elección está determinada por las necesidades actuales y el entendimiento de que en cualquier momento en el mismo equipo, puede comenzar a moverse hacia una tecnología más avanzada.


More articles:


All Articles