Introdução a IWAN e a PfRv3

Introdução

Este documento descreve Cisco WAN inteligente (IWAN) e roteamento do desempenho de Cisco (PfR).

IWAN

Cisco IWAN é um sistema que aumente a Colaboração e o desempenho do aplicativo da nuvem, quando igualmente reduzir os custos operacionais de WAN. A solução de IWAN fornece a orientação do projeto e da aplicação para as organizações que olham para distribuir um transporte WAN independente com o controle de caminho inteligente, a otimização do aplicativo, e a conectividade segura ao Internet e às locações da ruptura quando reduzir os custos operacionais de WAN. IWAN toma a vantagem completa de WAN superior e de serviços de Internet eficazes na redução de custos para aumentar a capacidade de largura de banda sem um acordo no desempenho, na confiança, ou na Segurança da Colaboração ou de aplicativos nuvem-baseados. As organizações podem usar IWAN a fim leverage o Internet como um transporte MACILENTO, assim como para de acesso direto aos aplicativos públicos da nuvem.

O r1 preferirá a Voz e o tráfego de vídeo tomar-lhe relativamente o melhor caminho com menos atraso, tremor e/ou perda entre os dois links disponíveis. O outro tráfego é carga equilibrada a fim maximizar a largura de banda.

A Voz e o vídeo são redistribuídos se o trajeto atual degrada (o Multiprotocol Label Switching (MPLS)) e o link direto do acesso ao Internet (diâmetro) é escolhido então.

A IWAN permite que você:

• Conecte a um modo mais barato como o INTERNET para dados menos importantes.
• Permite que WAN use a otimização do aplicativo, pôr em esconderijo inteligente, e fixe altamente o diâmetro.

Até agora, a única maneira de obter a conectividade confiável com desempenho previsível é aproveitar-se de um MPLS de utilização MACILENTO privado ou de um serviço da linha alugada. Contudo, o MPLS portador-baseado e os serviços da linha alugada podem ser caros e não são sempre eficazes na redução de custos para que uma organização use-se para que o transporte MACILENTO apoie exigências da largura de banda crescente para a Conectividade do local remoto. As organizações procuram maneiras de abaixar seu orçamento operacional ao adequadamente fornecer o transporte da rede para um local remoto.

IWAN pode permitir organizações de entregar uma experiência uncompromised sobre toda a conexão. Com Cisco IWAN, as organizações TI podem fornecer mais largura de banda a suas conexões do escritório filial com as opções MACILENTOS menos caras do transporte sem afetar o desempenho, a Segurança, ou a confiança. Com a solução IWAN, o tráfego é roteado dinamicamente dependendo do acordo de nível de serviço (SLA) do aplicativo, do tipo de endpoint e das condições de rede para fornecer a melhor experiência de qualidade.

Com a IWAN, você pode implantar rapidamente os aplicativos de uso intensivo da largura de banda, como vídeo, infraestrutura de desktops virtuais (VDI) e serviços de Wi-Fi para convidados. E não importa que transportam o modelo que você prefere, se MPLS, o Internet, celulares, ou um modelo híbrido do acesso WAN.

Esta figura esboça os componentes da solução de IWAN. O roteamento de desempenho é um pilar fundamental dessa iniciativa:

Os quatro componentes de IWAN são:

• Fixe e projeto transporte-independente flexível - O Dynamic Multipoint VPN (DMVPN) IWAN fornece capacidades para a multi-direção fácil sobre todo o serviço de portadora que oferece, que incluir o MPLS, a Banda larga, e 3G/4G/LTE celular.
  • Tecnologia: Design de sobreposição DMVPN/IPsec

• Controle de caminho inteligente - Com Cisco PfR, este componente melhora a entrega do aplicativo e a eficiência de WAN. O PfR controla dinamicamente as decisões de encaminhamento de pacotes de dados ao observar o tipo de aplicação, o desempenho, as políticas e o status do caminho. O PfR protege os aplicativos de negócios do desempenho da WAN flutuante, enquanto faz o inteligente balanceamento de carga do tráfego no melhor caminho de desempenho com base na política do aplicativo. O PfR monitora o desempenho da rede (instabilidade, perda de pacotes, atraso) e toma decisões para encaminhar aplicativos críticos no melhor caminho de desempenho com base na política do aplicativo. O Cisco PfR consiste em roteadores de borda que se conectam ao serviço de banda larga e a um aplicativo controlador mestre, que é compatível com o Cisco IOS® Software em um roteador. Os roteadores de borda coletam informações de tráfego e caminho e enviam-nas ao controlador mestre, que detecta e impõe as políticas de serviço para atender ao requisito do aplicativo. Cisco PfR pode selecionar um trajeto MACILENTO da saída inteligentemente ao tráfego do balanceamento de carga baseado em custos do circuito a fim reduzir despesas totais das comunicações de uma empresa. O controle de caminho inteligente da IWAN é a chave para fornecer uma WAN de classe empresarial no transporte da Internet.
  • Tecnologia: PfR. O PfR evolui para uma nova grande versão chamada PfRv3.

• Otimização do aplicativo - A visibilidade do aplicativo Cisco e o controle (AVC) e o Wide Area Application Services de Cisco (WAAS) fornecem a visibilidade e a otimização do desempenho do aplicativo sobre WAN. Com aplicações cada vez mais opacas devido ao aumento da reutilização de portas conhecidas como HTTP (porta 80), a classificação de porta estática da aplicação não é mais suficiente. O Cisco AVC fornece reconhecimento de aplicativos com inspeção profunda de pacotes de tráfego para identificar e monitorar o desempenho dos aplicativos. A visibilidade e o controle no nível do aplicativo (camada 7) são fornecidos por meio de tecnologias AVC, como reconhecimento de aplicativo baseado na rede 2 (NBAR2), NetFlow, qualidade de serviço (QoS), monitoramento de desempenho, Medianet e mais. 
  • Tecnologias: Application Visibility and Control (AVC), WAAS, Akamai Connect

• Conectividade segura - Protege WAN e offloads o tráfego de usuário diretamente ao Internet. Criptografia IPsec forte, firewalls baseados em zona e listas de acesso restritas são usados para proteger a WAN na Internet pública. O roteamento de usuários de filiais diretamente para a Internet melhora o desempenho de aplicações em nuvem pública, reduzindo o tráfego na WAN. O serviço Cisco Cloud Web Security (CWS) fornece um proxy da Web baseado em nuvem para gerenciar e proteger de forma centralizada o tráfego de usuários que acessam a Internet.
  • Tecnologias: Cisco IOS Firewall/IPS, Cloud Web Security (CWS)

Porque o DMVPN é usado

A IWAN usa um design prescritivo com um design independente de transporte híbrido com base no DMVPN. O DMVPN é implantado em MPLS e Internet Transport. Isso simplifica muito o roteamento usando um único domínio de roteamento que abrange os dois transportes. O Roteadores DMVPN usa as interfaces de túnel que apoiam o unicast IP assim como o Protocolo IP multicast e o tráfego de broadcast, que inclui o uso dos protocolos de roteamento dinâmico. Após a ativação do túnel spoke-to-hub inicial, é possível criar túneis spoke-to-spoke dinâmicos quando os fluxos de tráfego IP de local para local exigirem isso.

O design independente de transporte é baseado em uma nuvem DMVPN por provedor. Neste guia dois os fornecedores são usados, se é considerado o preliminar (MPLS), e se é considerado o secundário (Internet). Os sites de filiais estão conectados às duas nuvens DMVPN e os dois túneis estão ativos.

Segundo as indicações do diagrama, cada roteador de filial é conectado a ambos os fornecedores, um é o MPLS que é preliminar e outro é o INTERNET que é secundário.

O dependente no tipo de tráfego, cada um dos fornecedores é usado para enviar o tráfego. Por exemplo, os dados que são da prioridade mais alta podem ser mandados com o MPLS e os dados com pouca prioridade podem ser distribuídos sobre o INTERNET. Isto fá-lo mais eficaz na redução de custos e livra-o recursos disponíveis pode ser utilizado para umas finalidades de negócio mais inovativas.

Projeto independente do transporte (DMVPN duplo)

Resumo do design

O design fornece caminhos WAN ativa-ativa que aproveitam ao máximo o DMVPN para uma sobreposição de IPsec confiável. O MPLS e as conexões com a Internet podem ser encerrados em um único roteador ou em dois roteadores separados para resiliência adicional. O mesmo projeto pode ser usado sobre o MPLS, o Internet, ou os transportes 3G/4G, que faz o independente do transporte do projeto.

Recomenda-se usar um hub DMVPN (PfRv3 BR) por provedor e transportar no hub. Isso torna a configuração de roteamento muito mais fácil.

O DMVPN requer o uso de intervalos keepalive do Internet Key Management Protocol versão 2 (IKEv2) para Dead Peer Detection (DPD), que é essencial para facilitar a rápida reconvergência e para que o registro do spoke funcione corretamente caso um hub DMVPN seja recarregado. Esse design permite que um spoke detecte que o par da criptografia falhou e que a sessão IKEv2 com esse par está interrompida, o que possibilita que uma nova seja criada. Sem o DPD, a SA do IPsec deve expirar (o padrão é de 60 minutos) e quando o roteador não conseguir renegociar uma nova SA, uma nova sessão IKEv2 será iniciada. O tempo de espera máximo é de aproximadamente 60 minutos.

Resumo da fase de DMVPN

O DMVPN tem as fases múltiplas que são resumidas aqui:

A fase 1 do DMVPN é baseada na funcionalidade Hub e Spoke.

• Configuração simplificada e menor em hubs
• Suporte a CPEs endereçados dinamicamente (NAT)
• Apoio para protocolos de roteamento e Multicast
• O spokes não precisa a tabela de roteamento cheia, pode resumir no hub

A fase 2 DMVPN não tem nenhuma sumarização no hub.

Cada spoke tem o próximo salto (endereço spoke) para cada prefixo de destino do spoke.

PfR tem toda a informação para reforçar o trajeto com PBR dinâmico e a informação correta do salto seguinte.

A fase 3 do DMVPN permite o resumo de rotas:

• Quando a pesquisa de rota pai é executada, somente a rota para o hub está disponível.
• O NHRP instala dinamicamente o túnel de atalho e, portanto, preenche o RIB/CEF.
• O PfR ainda tem as informações do próximo salto do hub e atualmente não está ciente da mudança do próximo salto. 

PfRv3 apoia todas as fases DMVPN.

Para mais informações sobre do DMVPN, veja a vista geral do Cisco IOS DMVPN.