Questa sezione include una panoramica dettagliata della funzionalità di ottimizzazione dinamica percorso multiplo (DMPO) utilizzata dal servizio VMware SD-WAN.
Panoramica
VMware SD-WAN™ è una soluzione che consente alle aziende e ai provider di servizi di utilizzare più trasporti WAN contemporaneamente. In questo modo, è possibile aumentare la larghezza di banda e garantire le prestazioni delle applicazioni. La soluzione funziona sia per le applicazioni locali sia per le applicazioni cloud (SaaS/IaaS). Utilizza un'architettura fornita dal cloud che crea una rete di overlay con più tunnel. Monitora e si adatta alle modifiche dei trasporti WAN in tempo reale. Ottimizzazione dinamica percorso multiplo (DMPO) è una tecnologia sviluppata da VMware SD-WAN per rendere la rete di overlay più resiliente. Considera le prestazioni in tempo reale dei link WAN. Questo documento illustra le funzionalità e i vantaggi principali di DMPO.
Il diagramma seguente illustra una distribuzione di SD-WAN tipica con destinazioni non SD-WAN multi-cloud.
Funzionalità chiave
- Per i siti aziendali (da filiale a filiale o da filiale ad hub), gli Edge creano tunnel DMPO tra loro.
- Per le applicazioni cloud, ogni Edge crea tunnel DMPO con uno o più gateway.
Monitoraggio continuo
Rilevamento automatico della larghezza di banda: quando VMware SD-WAN Edge rileva il link WAN, stabilisce innanzitutto tunnel DMPO con uno o più VMware SD-WAN Gateway ed esegue il test della larghezza di banda con il gateway più vicino. Il test della larghezza di banda viene eseguito inviando brevi burst di traffico bidirezionale e misurando la velocità di ricezione a ogni estremità. Poiché il gateway viene distribuito a livello dei PoP di Internet, può anche identificare l'indirizzo IP pubblico effettivo del link WAN nel caso in cui l'interfaccia dell'Edge si trovi dietro un dispositivo NAT o PAT. Un processo simile viene applicato per un link privato. Per gli Edge che fungono da hub o head-end, la larghezza di banda della WAN viene definita in modo statico. Tuttavia, quando l'Edge della filiale stabilisce un tunnel DMPO con gli Edge hub, vengono eseguite procedure di test della larghezza di banda simili a quelle che vengono eseguite tra un Edge e un gateway nel link pubblico.
Monitoraggio percorso continuo: Ottimizzazione dinamica percorso multiplo (DMPO) esegue misurazioni continue unidirezionali delle metriche delle prestazioni, ovvero perdita, latenza e jitter di ogni pacchetto, in ogni tunnel tra due endpoint DMPO, Edge o Gateway. Il reindirizzamento per pacchetto di VMware SD-WAN consente di prendere decisioni indipendenti nelle direzioni di uplink e downlink senza introdurre alcun routing asimmetrico. DMPO utilizza entrambi gli approcci di monitoraggio passivo e attivo. Quando è presente traffico degli utenti, l'intestazione del tunnel DMPO contiene metriche delle prestazioni aggiuntive, tra cui il numero di sequenza, nonché la data e l'ora. In questo modo gli endpoint DMPO possono identificare i pacchetti persi e non ordinati, nonché calcolare il jitter e la latenza in ogni direzione. Gli endpoint DMPO comunicano le metriche delle prestazioni del percorso tra loro ogni 100 ms.
Quando non è presente traffico degli utenti, viene inviato un probe attivo ogni 100 ms e, dopo 5 minuti di assenza di traffico degli utenti con priorità alta, la frequenza del probe viene ridotta a 500 ms. Questa misurazione completa consente a DMPO di reagire molto rapidamente alla modifica della condizione WAN sottostante, offrendo la possibilità di fornire in meno di un secondo una protezione contro cali improvvisi della capacità della larghezza di banda e interruzioni della WAN.
Classe di servizio (CoS) MPLS: per un link privato che dispone di un contratto CoS, DMPO può essere configurato per tenere conto di CoS per le decisioni relative al monitoraggio e al reindirizzamento delle applicazioni.
Reindirizzamento dinamico dell'applicazione
Reindirizzamento per pacchetto sensibile all'applicazione: Ottimizzazione dinamica percorso multiplo (DMPO) identifica il traffico che utilizza attributi di livello da 2 a 7, ad esempio VLAN, indirizzo IP, protocollo e applicazioni. VMware SD-WAN esegue il reindirizzamento per pacchetto sensibile all'applicazione in base alla configurazione dei criteri di business e alle condizioni dei link in tempo reale. Il criterio di business contiene impostazioni smart predefinite che specificano il comportamento di reindirizzamento predefinito e la priorità di oltre 2500 applicazioni: i clienti possono utilizzare immediatamente il reindirizzamento dinamico dei pacchetti e la definizione della priorità sensibile all'applicazione senza dover definire alcun criterio.
Nel corso della sua durata, qualsiasi flusso di traffico viene reindirizzato a uno o più tunnel DMPO durante la comunicazione senza alcun impatto sul flusso. Si dice che in un link completamente inattivo si verifica una condizione di interruzione. La condizione di un link che non è in grado di fornire lo SLA per una determinata applicazione viene definita "brownout". In VMware SD-WAN si verificano interruzioni inferiori a un secondo e diminuzioni improvvise della protezione della capacità della larghezza di banda. Grazie al monitoraggio continuo di tutti i link WAN, DMPO rileva le perdite improvvise di SLA e le condizione di interruzione entro 300-500 ms e reindirizza immediatamente il flusso del traffico per proteggere le prestazioni dell'applicazione facendo in modo che le interruzioni non abbiano alcun impatto sul flusso attivo e sull'esperienza utente. Esiste un tempo di attesa di un minuto dal momento in cui la condizione di brownout o interruzione del link viene cancellata prima che DMPO reindirizzi il flusso del traffico al link preferito, se specificato nel criterio di business.
L'apprendimento intelligente abilita il reindirizzamento dell'applicazione in base al primo pacchetto dell'applicazione memorizzando i risultati della classificazione nella cache. Questa operazione è necessaria per il reindirizzamento basato sull'applicazione, ad esempio per il reindirizzamento di Netflix al link Internet della filiale ignorando il tunnel DMPO ed eseguendo il backhaul di Office 365 al data center o all'hub regionale dell'azienda.
Esempio: le impostazioni smart predefinite specificano che Microsoft Skype for Business ha priorità alta ed è un'applicazione in tempo reale. Si supponga che siano presenti 2 link con latenza di 50 ms e 60 ms rispettivamente. Si supponga che tutti gli altri SLA siano uguali o soddisfatti. DMPO sceglierà il link con latenza migliore, ovvero il link con latenza di 50 ms. Se nel link corrente a cui viene reindirizzato il traffico di Skype for Business si verifica una latenza elevata di 200 ms, in meno di un secondo i pacchetti per il flusso di Skype for Business vengono reindirizzati a un altro link con latenza migliore, ovvero 60 ms.
Aggregazione della larghezza di banda per flusso singolo: per i tipi di applicazioni che possono beneficiare di una maggiore larghezza di banda, ad esempio il trasferimento di file, DMPO esegue il bilanciamento del carico per pacchetto, utilizzando tutti i link disponibili per consegnare tutti i pacchetti di un singolo flusso alla destinazione. DMPO tiene conto delle prestazioni della WAN in tempo reale e decide quali percorsi utilizzare per l'invio dei pacchetti del flusso. Esegue inoltre il risequenziamento a livello del ricevente per assicurarsi che non siano presenti pacchetti non ordinati in seguito al bilanciamento del carico per pacchetto.
Esempio: due link da 50 Mbps forniscono 100 Mbps di capacità aggregata per un singolo flusso di traffico. La funzionalità QoS viene applicata sia a livello dei link aggregati sia a livello del singolo link.
Correzione su richiesta
Correzione di errori e jitter: in uno scenario in cui non è possibile reindirizzare il flusso del traffico al link migliore, ad esempio in una distribuzione con un singolo link o con più link in cui si verificano problemi contemporaneamente, Ottimizzazione dinamica percorso multiplo (DMPO) può abilitare la correzione degli errori per il periodo di tempo in cui nei link WAN sono presenti problemi. Il tipo di correzione degli errori utilizzato dipende dal tipo di applicazione e dal tipo di errore.
Per le applicazioni in tempo reale come i flussi audio e video può essere utile Forward Error Correction (FEC) in caso di perdita di pacchetti. DMPO abilita automaticamente FEC nei link singoli o multipli. Quando sono presenti più link, DMPO seleziona in qualsiasi momento fino a due dei link migliori per FEC. I pacchetti duplicati vengono eliminati e i pacchetti non ordinati vengono riordinati a livello del ricevente prima della consegna alla destinazione finale.
DMPO abilita il buffer del jitter per le applicazioni in tempo reale quando nei link WAN si verifica il jitter. Per le applicazioni TCP, come il trasferimento di file, è utile Negative Acknowledgement (NACK). Quando viene rilevato un pacchetto mancante, l'endpoint DMPO ricevente indica all'endpoint DMPO mittente di ritrasmettere il pacchetto mancante. In questo modo, le applicazioni finali non rilevano la perdita di pacchetti e, di conseguenza, la finestra TCP viene massimizzata e la velocità effettiva di TCP è elevata anche in caso di perdita di dati.
Quando la perdita di pacchetti supera una soglia specifica, viene richiesto l'avvio della Forward Error Correction (FEC) adattiva tramite la duplicazione del pacchetto. La correzione dell'errore applicata si basa sulla classe di traffico:
- Traffico transazionale/in blocco: in questo caso, viene applicato un algoritmo di ritrasmissione basato su NACK, che viene eseguito a livello del protocollo VCMP in cui si tenta di correggere la condizione di errore prima di consegnare il pacchetto all'applicazione.
- Traffico in tempo reale: in questo caso, viene applicata la FEC adattiva per replicare i pacchetti (attivazione/disattivazione in caso di violazione della soglia della perdita di SLA) e/o la correzione del buffer del jitter (in caso di violazione di SLA del jitter: questa correzione può solo essere attivata e persiste per la durata del flusso).
L'SLA (perdita, latenza, jitter) del link viene continuamente monitorato e misurato su base periodica e la FEC (duplicazione dei pacchetti) viene attivata in caso di violazione della soglia per il traffico in tempo reale (valori diversi per le applicazioni audio e video).
In uno scenario con un singolo link WAN, i pacchetti duplicati vengono trasmessi nello stesso uno adiacente all'altro. Poiché le eliminazioni dei pacchetti dovute alla congestione sono casuali, è statisticamente improbabile che due pacchetti adiacenti vengano eliminati. Aumenta così notevolmente la probabilità che uno dei pacchetti arrivi a destinazione. Se sono presenti due o più link WAN, i pacchetti replicati vengono inviati in link separati.
La FEC adattiva viene attivata per ciascun flusso in tempo reale in base alle soglie di perdita dei pacchetti misurate e disabilitata in tempo reale quando la perdita di pacchetti non supera più la soglia di attivazione. In questo modo la larghezza di banda disponibile viene utilizzata nel modo più efficiente possibile, si evita la duplicazione di pacchetti non necessari e si riduce l'overhead delle risorse. Un altro vantaggio significativo dell'approccio della FEC adattiva di VMware consiste nel fatto che l'effetto della perdita di pacchetti nella rete di trasporto nei dispositivi degli utenti finali è ridotto al minimo o eliminato. Poiché i dispositivi degli utenti finali non rilevano la perdita di pacchetti, evitano le ritrasmissioni e i meccanismi di prevenzione della congestione di TCP, come l'avvio lento, che possono influire negativamente sulla velocità effettiva complessiva, sulle prestazioni delle applicazioni e sull'esperienza dell'utente finale.
Risultati di DMPO negli scenari reali
Scenario 1: chiamata VoIP da filiale a filiale in un singolo link. I risultati nella figura seguente illustrano i vantaggi della correzione su richiesta tramite FEC e della correzione del jitter in un singolo link Internet con WAN tradizionale e VMware SD-WAN. Un MOS (Mean Opinion Score) inferiore a 3,5 non è accettabile per una chiamata vocale o video.
Scenario 2: prestazioni di TCP con e senza VMware SD-WAN per un link singolo e più link. Questi risultati mostrano in che modo NACK abilita il bilanciamento del carico per pacchetto.
Scenario 3: scenario con WAN ibrida con un'interruzione del link MPLS e jitter e perdita nel link Internet (Comcast). Questi risultati mostrano in che modo DMPO protegge le applicazioni dalle interruzioni inferiori a un secondo reindirizzandole ai link Internet e abilitando la correzione su richiesta nel link Internet.
Framework del criterio di business e impostazioni smart predefinite
Il criterio di business consente all'amministratore IT di controllare QoS, reindirizzamento e servizi per il traffico dell'applicazione. Le impostazioni smart predefinite offrono un criterio di business pronto all'uso che supporta oltre 2500 applicazioni. DMPO prende le decisioni relative al reindirizzamento in base al tipo di applicazione, alla condizione del link in tempo reale (congestione, latenza, jitter e perdita di pacchetti) e al criterio di business. Qui è disponibile un esempio di criterio di business.
Ogni applicazione ha una categoria. Ogni categoria ha un'azione predefinita, che è una combinazione di Priorità business (Business Priority), Servizio di rete (Network Service), Reindirizzamento link (Link Steering) e Classe di servizio (Service Class). È inoltre possibile definire applicazioni personalizzate.
Ogni applicazione ha una classe di servizio: Tempo reale (Real Time), Transazionale (Transactional) o Di massa (Bulk). La Classe di servizio determina il modo in cui DMPO gestisce il traffico dell'applicazione. Non è possibile modificare la classe di servizio per le applicazioni predefinite, ma è possibile specificarla per le applicazioni personalizzate.
Ogni applicazione ha anche una priorità di business: Alta (High), Normale (Normal) o Bassa (Low). La priorità di business determina il modo in cui DMPO attribuisce priorità e applica QoS al traffico dell'applicazione. È possibile modificare la priorità di business per qualsiasi applicazione.
Sono disponibili tre tipi di servizi di rete: Diretto (Direct), MultiPath e Backhaul Internet (Internet Backhaul). Per impostazione predefinita, a un'applicazione viene assegnato uno dei servizi di rete predefiniti, che può essere modificato dai clienti.
- Diretto: questo tipo viene in genere utilizzato per le applicazioni Internet non critiche e attendibili che devono essere inviate direttamente, ignorando il tunnel DMPO. Un esempio è Netflix. Netflix è considerata un'applicazione non aziendale con larghezza di banda elevata e non deve essere inviata tramite i tunnel DMPO. Il carico del traffico inviato direttamente può essere bilanciato a livello del flusso. Per impostazione predefinita, a tutte le applicazioni con priorità bassa viene assegnato il servizio di rete Diretto (Direct).
- MultiPath: questo tipo viene in genere utilizzato per le applicazioni importanti. Se si specifica il servizio MultiPath, il traffico basato su Internet viene inviato al VMware SD-WAN Gateway. La tabella seguente illustra il reindirizzamento del link predefinito e la tecnica di correzione su richiesta per una determinata classe di servizio. Per impostazione predefinita, alle applicazioni con priorità alta e normale viene assegnato il servizio di rete MultiPath.
- Backhaul Internet: questo tipo reindirizza le applicazioni Internet a una posizione aziendale in cui potrebbe essere presente o meno VMware SD-WAN Edge. Il caso d'uso tipico consiste nel far passare le applicazioni Internet importanti attraverso un sito che dispone di dispositivi di sicurezza come firewall, IPS e filtro dei contenuti prima di consentire al traffico di passare a Internet.
Astrazione del reindirizzamento del link con un gruppo di trasporto
In diverse posizioni di filiali e hub possono essere presenti modelli diversi di VMware SD-WAN Edge con interfacce WAN e gestori diversi. Per applicare il criterio di reindirizzamento link centralizzato tramite il profilo, è importante astrarre le interfacce e i gestori. Il gruppo di trasporto fornisce l'astrazione delle interfacce effettive dei dispositivi e dei gestori utilizzati in varie posizioni. Il criterio di business a livello di profilo può essere applicato al gruppo di trasporto, mentre il criterio di business a livello del singolo Edge può essere applicato al gruppo di trasporto, al link WAN (gestore) e alle interfacce.
Reindirizzamento del link in base al gruppo di trasporto
Posizioni diverse possono avere trasporti WAN diversi, ad esempio il nome del gestore WAN e il nome dell'interfaccia WAN. DMPO utilizza il concetto di gruppo di trasporto per astrarre i gestori o le interfacce WAN sottostanti dalla configurazione del criterio di business. La configurazione del criterio di business può specificare il gruppo di trasporto (cablato pubblico, wireless pubblico, cablato privato e così via) nel criterio di reindirizzamento, in modo che la stessa configurazione del criterio di business possa essere applicata a tipi di dispositivi o posizioni differenti, che possono avere gestori WAN e interfacce WAN completamente diversi. Quando DMPO esegue il rilevamento del link WAN, assegna anche il gruppo di trasporto al link WAN. Questa è l'opzione migliore per specificare i link nel criterio di business perché elimina la necessità per gli amministratori IT di conoscere la connettività fisica o il gestore WAN.
Reindirizzamento del link in base all'interfaccia
Il criterio di reindirizzamento del link può essere applicato all'interfaccia, ad esempio GE2 e GE3, che sarà diversa in base alla posizione e al modello dell'Edge. Questa è l'opzione meno consigliata da utilizzare nel criterio di business perché gli amministratori IT devono conoscere la modalità di connessione dell'Edge per poter specificare quale interfaccia utilizzare.
Reindirizzamento del link e correzione su richiesta
Sono disponibili quattro opzioni per il reindirizzamento del link: Automatico (Auto), Preferito (Preferred), Obbligatorio (Mandatory) e Disponibile (Available).
Reindirizzamento link: Obbligatorio (Link Steering: Mandatory): aggiunge il traffico al link o al gruppo di trasporto. Il traffico non viene mai reindirizzato altrove indipendentemente dalle condizioni del link, inclusa l'interruzione. La correzione su richiesta viene attivata per ridurre le condizioni di brownout, ad esempio la perdita di pacchetti e il jitter.
Esempio: Netflix è un'applicazione con priorità bassa ed è necessaria per rimanere sempre nei link cablati pubblici.
Reindirizzamento link: Preferito (Link Steering: Preferred): selezionare il link da contrassegnare come "preferito". In base al tipo di link WAN disponibili nell'Edge, sono possibili tre scenari:
- Se il link Internet preferito ha più link WAN pubblici alternativi: il traffico dell'applicazione rimane nel link preferito finché soddisfa l'SLA per tale applicazione e viene reindirizzato verso altri link pubblici quando il link preferito non può fornire l'SLA richiesto dall'applicazione. Nel caso in cui non sia presente alcun link a cui eseguire il reindirizzamento, ovvero tutti i link pubblici non riescono a consegnare l'SLA richiesto dall'applicazione, viene abilitata la correzione su richiesta. In alternativa, anziché reindirizzare l'applicazione non appena il link corrente non riesce a fornire l'SLA richiesto dall'applicazione, DMPO può abilitare la correzione su richiesta finché il peggioramento delle prestazioni non è troppo grave per essere corretto. A questo punto, DMPO reindirizzerà l'applicazione al link migliore.
- Esempio: preferire l'applicazione di collaborazione video nel link Internet finché non riesce a fornire l'SLA necessario per i video, quindi eseguire il reindirizzamento a un link pubblico che soddisfi l'SLA di questa applicazione.
- Se il link Internet preferito ha più link WAN pubblici e link WAN privati alternativi: il traffico dell'applicazione rimane nel link preferito finché soddisfa l'SLA per tale applicazione e viene reindirizzato a un altro link pubblico quando il link preferito non può fornire l'SLA richiesto dall'applicazione. Il link preferito NON viene reindirizzato a un link privato in caso di errore dell'SLA. Viene reindirizzato a tale link privato solo se il link preferito e un altro link pubblico sono entrambi instabili o completamente inattivi. Nel caso in cui non sia presente alcun link a cui eseguire il reindirizzamento, ovvero un altro link pubblico non riesce a consegnare l'SLA richiesto dall'applicazione, viene abilitata la correzione su richiesta. In alternativa, anziché reindirizzare l'applicazione non appena il link corrente non riesce a fornire l'SLA richiesto dall'applicazione, DMPO può abilitare la correzione su richiesta finché il peggioramento delle prestazioni non è troppo grave per essere corretto. A questo punto, DMPO reindirizzerà l'applicazione al link migliore.
- Esempio A: preferire l'applicazione di collaborazione video nel link Internet finché non riesce a fornire l'SLA necessario per i video, quindi eseguire il reindirizzamento a un link pubblico che soddisfi l'SLA di questa applicazione.
- Esempio B: preferire l'applicazione di collaborazione video nel link Internet finché non diventa instabile o non viene eliminato completamente e anche gli altri link pubblici sono instabili o vengono eliminati completamente, quindi eseguire il reindirizzamento a un link privato disponibile.
- Se il link Internet preferito ha solo link WAN privati alternativi: il traffico dell'applicazione rimane nel link preferito indipendentemente dallo stato dell'SLA per tale applicazione e non viene reindirizzato ad altri link privati anche se il link preferito non può fornire l'SLA richiesto dall'applicazione. In caso di errore dell'SLA per tale applicazione, anziché il reindirizzamento ai link privati viene abilitata la correzione su richiesta. Il link preferito viene reindirizzato ai link privati solo se il link preferito è instabile o completamente inattivo.
- Esempio: preferire l'applicazione di collaborazione video nel link Internet finché il link non diventa instabile o non viene eliminato completamente, quindi eseguire il reindirizzamento a un link privato disponibile.
Reindirizzamento link: Disponibile: questa opzione consente di selezionare il link disponibile purché sia attivo. DMPO abilita la correzione su richiesta se il link non soddisfa l'SLA. DMPO non reindirizzerà i flussi dell'applicazione a un altro link a meno che il link non sia inattivo.
Esempio: il backhaul del traffico Web viene eseguito tramite il link Internet al sito hub tramite il link Internet purché sia attivo, indipendentemente dall'SLA.
Reindirizzamento link: Automatico: questa è l'opzione predefinita per tutte le applicazioni. DMPO seleziona automaticamente i link migliori in base al tipo di applicazione e abilita la correzione su richiesta quando è necessario. Per le applicazioni Internet sono possibili quattro combinazioni di reindirizzamento link e correzione su richiesta. Il traffico all'interno dell'azienda (VPN) passa sempre attraverso i tunnel DMPO, quindi può sempre approfittare dei vantaggi della correzione su richiesta.
Gli esempi seguenti illustrano il comportamento predefinito di DMPO per diversi tipi di applicazioni e condizioni dei link. Consultare la sezione dell'appendice per l'SLA predefinito per i diversi tipi di applicazioni.
Esempio: applicazioni in tempo reale.
- Scenario: è presente un link che soddisfa l'SLA per l'applicazione.
Comportamento di DMPO previsto: seleziona il miglior link disponibile.
- Scenario: è presente un link con perdita di pacchetti oltre il limite dell'SLA per l'applicazione.
Comportamento di DMPO previsto: abilita FEC per le applicazioni in tempo reale in questo link.
- Scenario: sono presenti due link con perdita in un solo link.
Comportamento di DMPO previsto: abilita FEC in entrambi i link.
- Scenario: sono presenti più link con perdita in più link.
Comportamento di DMPO previsto: abilita FEC nei due link migliori.
- Scenario: sono presenti due link ma un link è instabile, ovvero perde tre heartbeat consecutivi.
Comportamento di DMPO previsto: contrassegna il link come inutilizzabile e reindirizza il flusso al miglior link successivo disponibile.
- Scenario: sono presenti due link con jitter e perdita.
Comportamento di DMPO previsto: abilita FEC e il buffer del jitter in entrambi i link. Il buffer del jitter viene abilitato quando il jitter è maggiore di 7 ms per l'audio e maggiore di 5 ms per il video. L'endpoint DMPO mittente indica all'endpoint DMPO ricevente di abilitare il buffer del jitter. L'endpoint DMPO ricevente memorizza nel buffer fino a 10 pacchetti o 200 ms di traffico, a seconda della condizione che si verifica per prima. Utilizza la data e l'ora originali nell'intestazione DMPO per calcolare la velocità del flusso per il buffer di de-jitter. Se il flusso non è costante, disabilita il buffering del jitter.
Esempio: applicazioni transazionali e di massa. Abilita NACK se la perdita di pacchetti supera la soglia accettabile in base al tipo di applicazione (vedere il valore nell'appendice).
Trasmissione sicura del traffico
DMPO crittografa sia il payload sia l'intestazione del tunnel con la modalità di trasporto IPSec end-to-end per il traffico privato o interno. Il payload contiene il traffico dell'utente. DMPO supporta AES128 e AES256 per la crittografia. Utilizza i protocolli PKI e IKEv2 per l'autenticazione e la gestione delle chiavi IPSec.
Protocolli e porte utilizzati
DMPO utilizza le porte seguenti:
- UDP/2426: questa porta è per la gestione del tunnel overlay e lo scambio di informazioni tra i due endpoint DMPO (Edge e gateway). È anche per il traffico dati già protetto o non importante, ad esempio il traffico SFDC dalla filiale al cloud tra Edge e gateway. Il traffico SFDC è crittografato con TLS.
- UDP/500 e UDP/4500: queste porte sono per la negoziazione IKEv2 e per la trasparenza del NAT IPSec.
- IP/50: questo protocollo è per IPSec su protocollo IP 50 nativo (ESP) quando non è presente alcun NAT tra i due endpoint DMPO.
Appendice: soglia di QoE e SLA dell'applicazione
DMPO utilizza la soglia dell'SLA seguente per i diversi tipi di applicazioni. Quando la condizione del link WAN supera una o più soglie, interviene immediatamente per reindirizzare i flussi delle applicazioni interessate o eseguire la correzione su richiesta. La perdita di pacchetti viene calcolata dividendo il numero di pacchetti persi per i pacchetti totali nell'ultimo intervallo di 1 minuto. Gli endpoint DMPO comunicano il numero di pacchetti persi ogni secondo. Anche il report QoE riflette questa soglia.
DMPO interviene immediatamente anche quando perde le comunicazioni, ovvero non riceve alcun dato utente o probe entro 300 ms.