Cisco SD-WANは、DMVPNが置かれているブランチを切断しますか？

2017年8月にCiscoがViptelaを買収して以来、CiscoSD -WANは提供される主要な分散型エンタープライズネットワーキングテクノロジーになりました。過去3年間で、SD-WANテクノロジーは、定性的および定量的の両方で多くの変化を遂げてきました。これにより、機能が大幅に拡張され、Cisco ISR 1000、ISR 4000、ASR 1000シリーズ、および仮想CSR1000vの従来のルーターでサポートが表示されました。同時に、多くのCiscoの顧客やパートナーは、引き続き質問を投げかけています。CiscoSD-WANと、CiscoDMVPNやCiscoPerformance Routingなどのテクノロジーに基づくすでに馴染みのあるアプローチとの違いは何ですか。また、これらの違いはどれほど重要ですか。







ここで、CiscoポートフォリオにSD-WANが登場する前に、DMVPNとPfRがCisco IWAN（Intelligent WAN）アーキテクチャの重要な部分を構成していたことをすぐに予約する必要があります。これは、本格的なSD-WANテクノロジーの前身を表しています。解決される問題とそれらを解決する方法の両方の一般的な類似性にもかかわらず、IWANはSD-WANに必要なレベルの自動化、柔軟性、およびスケーラビリティをまだ受けておらず、時間の経過とともにIWANの開発は大幅に減少しました。同時に、IWAN自体を構成するテクノロジーは消滅しておらず、多くのお客様が最新の機器を含め、それらを引き続き使用しています。その結果、興味深い状況が発生しました。同じCisco機器を使用すると、顧客の要件と期待に応じて、最適なWANテクノロジー（クラシック、DMVPN + PfR、またはSD-WAN）を選択できます。



この記事は、Cisco SD-WANおよびDMVPNテクノロジー（パフォーマンスルーティングの有無にかかわらず）のすべての機能を詳細に分析することを意図していません。これについては、膨大な量の利用可能なドキュメントと資料があります。主なタスクは、これらのテクノロジー間の主な違いを評価することです。しかし、それでも、これらの違いについて説明する前に、テクノロジー自体を簡単に思い出してみましょう。

Cisco DMVPNとは何ですか？なぜそれが必要なのですか？

Cisco DMVPNは、インターネット（=通信チャネルの暗号化を使用）を含む任意のタイプの通信チャネルを使用して、企業のセントラルオフィスのネットワークへのリモートブランチネットワークの動的（=スケーラブル）接続の問題を解決します。技術的には、これは、「スター」（ハブアンドスポーク）タイプの論理トポロジを使用して、ポイントツーマルチポイントモードで仮想化オーバーレイL3VPNを作成することによって実現されます。これを行うために、DMVPNは次のテクノロジーの組み合わせを使用します。

• IPルーティング
• マルチポイントGREトンネル（mGRE）
• ネクストホップ解決プロトコル（NHRP）
• IPSec暗号プロファイル

MPLS VPNチャネルを使用する従来のルーティングと比較したCiscoDMVPNの主な利点は何ですか？

• – , IP- , ( ) ( )
• . – , – ( )
• IP- . mGRE , . , .

Cisco Performance Routing ?

ブランチ間ネットワークでDMVPNを使用する場合、1つの非常に重要な質問が未解決のままです。組織にとって重要なトラフィックの要件に準拠しているかどうか、各DMVPNトンネルの状態を動的に評価し、この評価に基づいて、再ルーティングを動的に決定する方法を教えてください。実際、この部分のDMVPNは、従来のルーティングとそれほど違いはありません。最善の方法は、発信方向のトラフィックに優先順位を付けるQoSメカニズムを構成することですが、パス全体の状態を一度に考慮に入れることはできません。



そして、チャネルが完全ではなく部分的に劣化した場合はどうすればよいですか？それを検出して評価する方法は？ DMVPN自体はこれを行うことができません。ブランチを接続するチャネルが、まったく異なるテクノロジーを使用してまったく異なる通信事業者を通過できることを考えると、このタスクは非常に簡単ではありません。そして、これがCisco Performance Routingテクノロジーが救いの手を差し伸べる場所であり、その時点ですでにいくつかの開発段階を経ていました。







Cisco Performance Routing（以下、PfR）のタスクは、ネットワークアプリケーションにとって重要な主要なメトリック（遅延、遅延変動（ジッタ）、およびパケット損失（パーセント））に基づいて、トラフィックフローのパス（トンネル）の状態を測定することです。..。さらに、使用帯域幅を測定できます。これらの測定は可能な限りリアルタイムに近い方法で行われ、保証されています。これらの測定の結果により、PfRを使用するルーターは、特定のタイプのトラフィックのルーティングを変更する必要性について動的に決定できます。



したがって、DMVPN / PfRを組み合わせる問題は次のように簡単に説明できます。

• お客様がWANネットワーク上の任意の通信チャネルを使用できるようにします
• これらのチャネルで重要なアプリケーションの可能な限り最高の品質を確保する

Cisco SD-WANとは何ですか？

Cisco SD-WANは、SDNアプローチを使用して組織のWANを構築および運用するテクノロジーです。特に、これは、すべてのソリューションコンポーネントの集中化されたオーケストレーションと自動構成を提供する、いわゆるコントローラー（ソフトウェア要素）の使用を意味します。標準のSDN（クリーンスレートスタイル）とは異なり、Cisco SD-WANは一度に複数のタイプのコントローラーを使用し、それぞれが独自の役割を果たします。これは、より優れたスケーラビリティと地理的冗長性を提供するために意図的に行われます。







SD-WANの場合、すべてのタイプのチャネルを使用し、ビジネスアプリケーションの動作を保証するタスクは残りますが、同時に、そのようなネットワークの自動化、スケーラビリティ、セキュリティ、および柔軟性に対する要件が高まります。

違いの議論

これらのテクノロジーの違いを分析し始めると、次のいずれかのカテゴリに分類されます。

• アーキテクチャの違い-ソリューションのさまざまなコンポーネント間で機能がどのように分散され、そのようなコンポーネントの相互作用はどのように編成され、これはテクノロジーの機能と柔軟性にどのように影響しますか？
• 機能性-あるテクノロジーでできること、別のテクノロジーではできないことは何ですか？そしてそれはとても重要ですか？

アーキテクチャの違いは何ですか？それらは重要ですか？

指定された各テクノロジーには多くの「可動部分」があり、それらは役割だけでなく、相互作用の原則も異なります。ソリューションのスケーラビリティ、障害耐性、および全体的な効率は、これらの原則とソリューションの一般的な仕組みをどれだけよく考えているかに直接依存します。



アーキテクチャのさまざまな側面について詳しく見ていきましょう。



データプレーンは、送信元と宛先の間でユーザートラフィックを転送するソリューションの一部です。 DMVPNおよびSD-WANでは、通常、マルチポイントGREトンネルに基づいてルーター自体に同じ方法で実装されます。違いは、これらのトンネルに必要なパラメータのセットがどのように形成されるかです。

• DMVPN/PfR – «» Hub-n-Spoke. Hub Spoke Hub, NHRP data-plane . , Hub, , / WAN- .
• でSD-WANは、コントロールプレーン（OMPプロトコル）とオーケストレーション・プレーン（コントローラ発見およびNATトラバーサルタスクのvBondコントローラとの相互作用）に基づいて確立されたトンネルのパラメータを発見するための完全に動的モデルです。この場合、重ね合わせたトポロジは、階層的なトポロジを含め、任意のトポロジにすることができます。確立された重ね合わせトンネルトポロジ内で、個々のVPN（VRF）の論理トポロジを柔軟に構成できます。

コントロールプレーン-ソリューションコンポーネント間のルーティングおよびその他の情報の交換、フィルタリング、および変更の機能。

• DMVPN/PfR – Hub Spoke. Spoke . , Hub control-plane data-plane, Hub , .
• でSD-WAN -コントロールプレーンは、ルータ間で直接行われることはありません-相互作用は、OMPプロトコルに基づいており、必ずしもバランス、地理的冗長性およびシグナリング負荷の集中制御の可能性を提供vSmartコントローラの別の特殊なタイプを介して行われます。OMPプロトコルのもう1つの機能は、損失に対する大きな耐性と、コントローラーとの通信チャネルの速度からの独立性です（もちろん、妥当な制限内で）。これは、インターネットにアクセスできるパブリッククラウドまたはプライベートクラウドでSD-WANコントローラーをホストする場合にも同様に成功します。

ポリシープレーン-WANでのトラフィック制御ポリシーの定義、配布、および実施を担当するソリューションの一部。

• DMVPN – (QoS), CLI Prime Infrastructure.
• DMVPN/PfR – PfR Master Controller (MC) CLI MC. , data-plane. , . IP- Hub Spoke. MC DMVPN . ( ) Prime Infrastructure . — – .
• SD-WAN – Cisco vManage ( ). vSmart ( ). data-plane , .. .
  
  
  
  – , – , , ..
  
  

Orchestration- plane-コンポーネントが相互に動的に検出し、後続の相互作用を構成および調整できるようにするメカニズム。

• DMVPN / PfRは、ルータによって相互発見は、ハブ装置の静的な構成とスポーク装置の対応する構成に基づいています。動的検出は、ハブ接続パラメーターをデバイスに通信するスポークに対してのみ発生します。デバイスは、スポーク構成で事前構成されています。IP接続がないと、少なくとも1つのハブを持つスポークはデータプレーンまたはコントロールプレーンを形成できません。
• SD-WAN vBond, ( vManage/vSmart) IP-.
  
  
  
  – - vBond. – ( ) vBond, vBond vManage vSmart ( ), .
  
  
  
  次のステップでは、新しいルーターは、vSmartコントローラーとのOMP交換を介して、ネットワーク内の残りのルーターについて学習します。したがって、ルーターは、最初はネットワークパラメーターについて何も知らずに、コントローラーを完全に自動的に検出して接続し、次に他のルーターを自動的に検出して接続を形成することができます。同時に、すべてのコンポーネントの接続パラメーターは最初は不明であり、操作中に変更される可能性があります。
  
  

管理プレーンは、集中管理と監視を提供するソリューションの一部です。

• DMVPN/PfR – management-plane . , Cisco Prime Infrastructure. CLI. API .
• SD-WAN – vManage. vManage, REST API.
  
  
  
  SD-WAN vManage – (Device Template) , . vManage, , / , .
  
  
  
  vManage Cisco SD-WAN, DPI .
  
  
  
  , ( ) CLI, . ( ) , – vManage.

統合セキュリティ-ここでは、オープンチャネルを介して送信するときのユーザーデータの保護だけでなく、選択したテクノロジに基づくWANネットワークの全体的なセキュリティについても説明する必要があります。

• DMVPN/PfR . , IPS/IDS. VRF. () .
  
  
  
  - – .. , , .
• SD-WAN DMVPN , L3/VRF (, IPS/IDS, URL-, DNS-, AMP/TG, SASE, TLS/SSL proxy ..). vSmart ( ), , DTLS/TLS . .
  
  
  
  (-, ) DTLS/TLS. /. / SD-WAN :
  
  
  
  
  • «» .
  
  
  

SD-WAN DMVPN/PfR

機能の違いの説明に移ると、それらの多くはアーキテクチャの違いの続きであることに注意してください。ソリューションのアーキテクチャを形成するときに、開発者が最終的に取得したい機能から開始することは周知の事実です。2つのテクノロジーの最も重要な違いを考えてみましょう。

AppQ（アプリケーション品質）-ビジネスアプリケーションのトラフィック送信の品質を保証する機能

これらのテクノロジーの主な機能は、分散ネットワークでビジネスクリティカルなアプリケーションを使用する際のユーザーエクスペリエンスを可能な限り向上させることを目的としています。これは、インフラストラクチャの一部がITによって制御されていない場合、またはデータ転送の成功を保証しない場合に特に重要です。



DMVPNは、それ自体ではそのようなメカニズムを提供しません。従来のDMVPNネットワークで実行できる最善のことは、発信トラフィックをアプリケーションごとに分類し、WANリンクの方向に優先順位を付けることです。この場合、DMVPNトンネルの選択は、その可用性とルーティングプロトコルの結果のみに基づいています。同時に、パス/トンネルのエンドツーエンドの状態と、ネットワークアプリケーションにとって重要な主要なメトリック（遅延、遅延変動（ジッタ）、損失（％））の観点からの部分的な劣化の可能性は考慮されていません。この点で、AppQの問題を解決するという観点から、従来のDMVPNをSD-WANと直接比較することは意味がありません。DMVPNはこの問題を解決できません。このコンテキストにCiscoPerformance Routing（PfR）テクノロジが追加されると、状況が変化し、CiscoSD-WANとの比較がより適切になります。



違いについて説明する前に、テクノロジーがどのように類似しているかを簡単にまとめます。したがって、両方のテクノロジー：

• 特定のメトリックのコンテキストで確立された各トンネルの状態を動的に評価できるメカニズムがあります-少なくとも遅延、遅延変動、およびパケット損失（％）
• トンネルの主要なメトリックの状態を測定した結果を考慮に入れて、トラフィック制御ルール（ポリシー）の形成、配布、および適用に特定のツールセットを使用します。
• ルーターに組み込まれているDPIメカニズムに基づいて、OSIモデルのL3-L4レイヤー（DSCP）またはL7アプリケーション署名でアプリケーショントラフィックを分類します。
• 重要なアプリケーションがメトリックの許容可能なしきい値、デフォルトのトラフィック送信のルール、しきい値を超えたときにトラフィックを再ルーティングするためのルールを定義できるようにします。
• GRE/IPSec DSCP GRE/IPSEC , QoS ( SLA).

SD-WAN DMVPN/PfR?

DMVPN/PfR

• , (Probes). — , ( ).
• – .
• . DMVPN/PfR .
• PfR TCA (Threshold Crossing Alert) , , , TCA-. , .

SD-WAN

• BFD echo-. TCA – . .
• BFD .
  
  
  
  
  
  
• BFD . . WAN- MPLS L2/L3 VPN QoS SLA — DSCP- BFD ( IPSec/GRE) , . BFD - . Cisco SD-WAN BFD, BFD DSCP- ( ).
• BFD , . SD-WAN , MTU TCP MSS Adjust, .
• SD-WAN QoS L3 DSCP , L2 CoS , — , IP-

, AppQ ?

DMVPN/PfR:

• (-) () CLI CLI- . CLI- .
  
  
  
  
  
  
• / .
• .
• , , .
• . , . / .
• , .
• , WAN- , .

SD-WAN:

• vManage .
• , , , .
• ()
• , / vSmart – data-plane . IP- .
  
  
  
  
• , , , , :
  
  
  
  
  • FEC (Forward Error Correction) – . , FEC . , .
    
    
    
    
  • データストリームの複製-FECに加えて、ポリシーは、FECを使用して補償できないさらに深刻なレベルの損失が発生した場合に、選択したアプリケーションのトラフィックの自動複製を提供できます。この場合、選択されたデータはすべてのトンネルを介して受信ブランチに送信され、その後重複排除されます（不要なパケットのコピーが破棄されます）。このメカニズムにより、チャネルの使用率が大幅に向上しますが、伝送の信頼性も大幅に向上します。

Cisco SD-WAN機能、DMVPN / PfRに直接アナログはありません

場合によっては、Cisco SD-WANソリューションのアーキテクチャにより、DMVPN / PfRのフレームワーク内での実装が非常に困難であるか、必要な人件費のために非現実的であるか、または完全に不可能である機会を得ることができます。それらの中で最も興味深いものを考えてみましょう：

トラフィックエンジニアリング（TE）

TEには、ルーティングプロトコルによって形成される標準パスからトラフィックを迂回させるメカニズムが含まれています。 TEは、メインパスで障害が発生した場合にサービスの品質または回復速度を向上させるために、重要なトラフィックを代替の（重複しない）伝送パスに迅速におよび/または進めることができるため、ネットワークサービスの高可用性を提供するためによく使用されます。



TE実装の複雑さは、代替パスを事前に計算して予約（チェック）する必要があることにあります。テレコムオペレーターのMPLSネットワークでは、この問題は、IGPプロトコルおよびRSVPプロトコルの拡張を備えたMPLSトラフィックエンジニアリングなどのテクノロジーを使用して解決されます。また、最近では、一元化された構成とオーケストレーション用にさらに最適化されたセグメントルーティングテクノロジーの人気が高まっています。従来のWANネットワークでは、これらのテクノロジーは、原則として、トラフィックを分岐できるポリシーベースルーティング（PBR）などのホップバイホップメカニズムの使用に代表されないか、削減されますが、ネットワークの全体的な状態を考慮せずに、各ルーターに個別に実装します。 PBRは、前のステップまたは後続のステップになります。これらのTEオプションを使用した結果は期待外れです。構成と操作が複雑なため、MPLS TEは原則としてネットワークの最も重要な部分（コア）でのみ使用され、PBRはネットワーク全体で特定の統合PBRポリシーを形成する機能なしで個々のルーターで使用されます。明らかに、これはDMVPNに基づくネットワークにも当てはまります。







この点でSD-WANは、構成が簡単であるだけでなく、大幅にスケーラブルな、はるかに洗練されたソリューションを提供します。これは、使用されているコントロールプレーンおよびポリシープレーンアーキテクチャの結果です。SD-WANポリシープレーンの実装により、一元化されたTEポリシー定義が可能になります-どのトラフィックに関心がありますか？どのVPN用ですか？どのノード/トンネルを介して代替ルートを形成する必要がありますか、それとも逆に禁止されていますか？次に、vSmartコントローラーに基づくコントロールプレーン制御の集中化により、個々のデバイスの設定に頼ることなくルーティング結果を変更できます。ルーターは、vManageインターフェイスで形成され、vSmartに使用するために転送されたロジックの結果のみを既に認識しています。

サービスチェーン

サービスチェーンの形成は、すでに説明したトラフィックエンジニアリングメカニズムよりも、従来のルーティングではさらに面倒な作業です。実際、この場合、特定のネットワークアプリケーションに対して特定の特別なルートを形成するだけでなく、特別なアプリケーションまたはサービス（ITU、バランシング、キャッシング、検査）で処理するために、ネットワークからSD-WANネットワークの特定の（またはすべての）ノードにトラフィックを出力する機能を提供する必要があります。トラフィックなど）。同時に、ブラックホールの状況を防ぐために、これらの外部サービスの状態を制御できる必要があります。また、特定のブランチのトラフィックを処理するために最適なサービスノードをネットワークが自動的に選択する機能を備えた、同じタイプの外部サービスを異なる地理的場所に配置するメカニズムも必要です。 ..。Cisco SD-WANの場合、これは、ターゲットサービスチェーンのすべての側面を単一の全体に「接着」し、必要な場所とタイミングでのみデータプレーンと制御プレーンのロジックを自動的に変更する適切な集中型ポリシーを作成することで簡単に実現できます。







特殊な（ただしSD-WANネットワーク自体とは関係ありません）機器で、選択したタイプのアプリケーションのトラフィックの地理分散処理を特定の順序で形成する機能は、従来のテクノロジや一部の代替SDソリューションに対するCiscoSD-WANの利点を最も鮮明に示しています。 -他のメーカーのWAN。

収益は何ですか？

明らかに、DMVPN（パフォーマンスルーティングありまたはなし）とCisco SD-WANの両方が、組織の分散WANネットワークに関して非常に類似した問題を最終的に解決します。同時に、Cisco SD-WANテクノロジーのアーキテクチャと機能の大きな違いにより、これらの問題を解決するプロセスが異なる品質レベルになります。要約すると、SD-WANテクノロジーとDMVPN / PfRテクノロジーの間の次の重要な違いに注意することができます。

• DMVPN/PfR VPN data-plane SD-WAN , Hub-n-Spoke. , DMVPN/PfR , SD-WAN ( per-application BFD).
• control-plane . SD-WAN , , «» – . - ( ) .
• SD-WAN DMVPN/PfR – -, Hub, , .
• . DMVPN , - , . SD-WAN , « » , « » – , data-plane , / .
• , SD-WAN DMVPN/PfR, CLI NMS .
• SD-WAN DMVPN . – , .

これらの単純な結論から、DMVPN / PfRに基づくネットワークの作成が今日すべての関連性を失ったという誤った印象が形成される可能性があります。これは確かに完全に真実ではありません。たとえば、ネットワーク上で多くのレガシー機器が使用されており、それを置き換える方法がない場合、DMVPNを使用すると、「古い」デバイスと「新しい」デバイスを1つの地理分散ネットワークに結合して、上記の多くの利点を得ることができます。



一方、IOS XE（ISR 1000、ISR 4000、ASR 1000、CSR 1000v）に基づく現在のすべてのCisco企業ルーターは、現在、従来のルーティングとDMVPNおよびSD-WANの両方のあらゆる動作モードをサポートしていることを覚えておく必要があります。選択は、現在のニーズと、同じ機器でいつでもより高度なテクノロジーに移行できるという理解によって決まります。