DMVPN era una din tehnologiile «mainstream» acum câțiva ani. Fiind lansată de către Cisco pe la începutul anilor 2000, permite o serie de beneficii, printre care flexibilitatea și automatizarea construirii tunelelor IPSEC. DMVPN a fost rapid adoptată de mulți clienți cu sucursale în țară sau dispersate geografic.
SD-WAN este noua tehnologie «mainstream» astăzi. La un refresh tehnologic de echipamente apare deseori întrebarea: către ce tehnologie să ne îndreptăm?
În acest articol, vom parcurge beneficiile tehnologiei Cisco SD-WAN în comparație cu variantele clasice de WAN Area Network, mai concret cu Dynamic Multipoint Virtual Private Network (DMVPN). Vom vedea ce aduce nou SD-WAN în câteva puncte cheie.
Design
Cisco Software Defined-WAN oferă mult mai multă flexibilitate în a crește gradual numărul de componente, fie ele în locații aflate la distanță, fie în locația centrală, întrucât se bazează pe un criteriu cheie din conceptul de Software Defined Network (SDN) și anume separarea plane-urilor de comunicație. Un nou echipament este adăugat ușor de către vBond – ce are rol în orchestrare –, iar configurația celorlalte echipamente este actualizată corespunzător, în mod automat. În cazul DMVPN, alegerea numărului de hub-uri este un pas inițial foarte important în construcția rețelei, întrucât adăugarea ulterioară necesită configurarea manuală a tuturor echipamentelor din rețea.
Management
O rețea DMVPN nu are asociat un sistem de management în mod implicit, existând mai multe opțiuni de aplicații. Cisco SD-WAN a luat în calcul încă din start acest aspect vital, operarea soluției fiind făcută dintr-un singur punct, respectiv o interfață web. Această interfață asigură adăugarea echipamentelor în soluție, configurarea acestora pe bază de șabloane, direcționarea traficului prin politici, colectează log-uri și alarme, permite managementul certificatelor, stochează imagini software pentru echipamente ori controllere și permite upgrade-ul planificat al acestora.De asemenea, oferă posibilitatea de rulare a comenzilor de tip show ori troubleshooting, nefiind nevoie ca un operator să intre individual pe echipamente. Gradul de vizibilitate oferit de platforma de management asupra aplicațiilor folosite, utilizarea circuitelor de către diferite tipuri de trafic, nivelul de folosire a interfețelor, reprezintă un beneficiu important al soluției, asigurând modalități facile de raportare a datelor.
Segmentare
SD-WAN permite micro-segmentare la nivel de aplicație sau tip de trafic, cu diferențiere clară la nivel de interfețe fizice, respectiv tabelă de routare. Exemple uzuale sunt separarea traficului de guest de cel de companie, ori a aplicațiilor critice, cu beneficii în complianța de securitate. Același lucru pe o rețea DMVPN este foarte complicat de implementat, respectiv de operat, nefiind un scenariu luat în considerare la dezvoltarea soluției.
ZTP
Cisco SD-WAN permite cu adevărat Zero Touch Provisioning, nefiind nevoie de o configurare preliminară a echipamentelor (vezi DMVPN), toate informațiile necesare putând fi primite de echipament pe bază de DHCP și DNS.
Rutare
DMVPN rulează un protocol de rutare, uzual fiind EIGRP sau BGP. SD-WAN configurează automat acest protocol de rutare numit Overlay Management Protocol (OMP) nefiind nevoie de o experiență tehnică avansată. Suplimentar unui protocol de rutare clasic, OMP anunță pe lângă prefixe, chei de criptare și politici de trafic, serviciile disponibile în rețea (ex.: firewall, load balancer). Astfel, este mult mai facilă redirecționarea traficului din anumite locații către un serviciu centralizat aflat în Data Center ori site-ul central, prin configurarea și anunțarea unei rute specifice, ce schimbă implicit next hop către adresa IP primită local.
Configurare și revenire la o stare anterioară funcțională
Beneficiind de automatizare prin folosirea de șabloane automate de configurare, respectiv politici de trafic definite o singură dată și apoi aplicate în mod repetat pe echipamente, SD-WAN elimină erorile umane, validând implicit comenzile de configurare și ușurând în același timp operarea. Dacă un echipament pierde conexiunea către platforma de management (vManage) din cauza unor comenzi greșite, se revine automat la starea validă anterioară. O politică de trafic se definește în interfața vizuală de configurare, nefiind necesare cunoștințe tehnice detaliate, cum este cazul DMVPN. Complianța versiunilor software utilizate, respectiv a configurației, este, de asemenea, foarte ușor de urmărit în vManage.
IPsec
Securizarea datelor este făcută de ambele soluții folosind tunele IPsec. Diferențierea vine în zona de operare, cu SD-WAN fiind foarte facilă, cheile de criptare sunt anunțate automat de către protocolul Overlay Management Protocol, iar rotirea acestora se poate face din platforma de management. Prin comparație, DMVPN necesită configurarea și rotirea cheilor în mod manual, pe fiecare echipament în parte.
Certificate de autentificare
Similar punctului anterior, gestionarea certificatelor este facilă în cadrul soluției Cisco SD-WAN, fiind făcută centralizat, pe baza conceptului de Zero Trust, transmițând informații doar după ce avem create tunele securizate. În cazul DMVPN, apare problema conectării pe echipament într-un mod nesecurizat pentru a instala manual un certificat, abia ulterior putând beneficia de un mediu sigur.
Acces direct la Internet
Cisco SD-WAN asigură într-un mod facil și, în același timp, sigur posibilitatea de acces direct dintr-o locație la internet sau cloud, atunci când acest lucru este benefic, în comparație cu redirecționarea acestui trafic către locația centrală, ce poate crește timpul total de răspuns sau poate pune presiune pe banda de trafic necesară la centru. Accesarea directă a internetului se poate face doar pentru anumite tipuri de trafic (ex.: Office 365), pentru traficul implicit se poate păstra accesul via hub. Crearea unei astfel de politici se poate apoi distribui ușor pentru toate locațiile relevante. Echipamentul din locație suportă caracteristici de securitate configurabile din platforma de management: DPI, IPS, URL filtering, Advanced Malware Protection (AMP). În cazul DMVPN, din nou, trebuie configurat fiecare echipament în parte, acest caz de acces local nefiind luat în calcul din faza de design a soluției.
Acestea ar fi, pe scurt, zonele principale unde Cisco SD-WAN aduce beneficii importante față de o soluție clasică DMVPN, fiind util de luat în considerare la o implementare nouă.