Dans un premier blog nous avons expliqué comment la révolution software-defined a permis au réseau WAN de revenir sur le devant de la scène. En rationalisant la gestion du WAN, l’approche SDN accélère, concentre et simplifie la gestion d’environnements potentiellement très complexes et dispersés. Examinons désormais l’architecture du SD-WAN Cisco.
Au niveau de l’architecture, la technologie Cisco SD-WAN repose sur plusieurs éléments constitutifs montrés dans l’illustration ci-dessous.
- vBond, l’orchestrateur de l’infrastructure Cisco SD-WAN
- vSmart, l’intelligence centrale
- cEdges / vEdges, hla plateforme de connexion multifonctions
- vManage, la console de gestion centrale
Il permet d’automatiser un certain nombre de tâches nécessaires au bon fonctionnement des services Cisco SD-WAN en faisant le lien entre tous les éléments software et hardware de l’infrastructure.
C’est le premier point de connexion et d’authentification pour les équipements SD-WAN que l’on ajoute dans l’overlay (infrastructure logique). Il contient la liste (modèle whitelist) de tous les équipements autorisés à intégrer l’overlay SD-WAN.
Le vBond participe aussi à un autre élément clef de l’architecture Cisco SD-WAN : le NAT traversal. Par un système relativement simple et efficace, le vBond communique leur adresse IP publique aux routeurs d’accès afin qu’ils puissent communiquer entre eux au travers d’équipements de NAT et établir un tunnel IPSec.
Cet élément est le control plane virtualisé de Cisco SD-WAN. Les vSmarts (ils sont, de préférence, au moins deux pour la redondance) contiennent les règles globales concernant les applications mais aussi les règles globales de qualité de service et de contrôle de l’architecture SD-WAN. En effet, les vSmarts contiennent les informations de routage et se comportent d’une certaine façon comme un « route reflector » dans le monde BGP en annonçant (ou en filtrant) les routes de l’overlay Cisco SD-WAN aux routeurs d’accès.
Les contrôleurs vSmart permettent de se passer du protocole IKE (Internet Key Exchange). Ce protocole est utilisé pour échanger les clefs de chiffrement entre les différents routeurs d’une infrastructure WAN nécessitant l’établissement de tunnels IPSEC. Le principe est assez simple, IKE établit une connexion sécurisée entre deux routeurs puis établit une association de sécurité (Security Association – SA). Une fois les deux routeurs « associés », IKE utilise l’algorithme Diffie-Hellmann pour générer une clef partagée entre les deux routeurs qui souhaitent établir un tunnel IPSEC. Cette clef servira à encrypter toutes les futures communications entre ces deux routeurs via un tunnel IPSEC.
Cette approche signifie que chaque routeur WAN doit générer et conserver une clef pour chaque routeur avec lequel il établit un tunnel IPSEC. Dans un environnement « full mesh » ça implique que chaque routeur doit pouvoir gérer n² de clefs et conserver dans sa mémoire interne n-1 clefs de chiffrement. Vous pouvez facilement calculer ce que ça représente pour un réseau de 100, 300 routeurs ou plus…
Pour simplifier l’échange et la maintenance des clefs de chiffrement, les routeurs utilisent la connexion DTLS existante avec les vSmarts et envoient leurs clefs au contrôleur qui se charge de les propager dans le réseau. Les clefs sont propagées de manière sécurisée via les connexions DTLS et le vSmart se charge de les centraliser.
Toutes les informations décrites précédemment sont propagées entre différents éléments de la « fabric » Cisco SD-WAN via le protocole OMP qui peut être vu comme une version modifiée de BGP.
Physiques ou virtuels, les routeurs Cisco SD-WAN sont présents partout où vous souhaitez étendre votre environnement SD-WAN que soit dans votre entreprise ou dans le cloud. Ils identifient, encryptent et décryptent vos flux applicatifs entre les sites SD-WAN.
Les routeurs SD-WAN établissent une connexion DTLS sécurisée avec les contrôleurs vSmart qui leurs envoient toutes les informations nécessaires à l’établissement de la « fabric » SD-WAN ainsi que les règles de configuration globales à appliquer.
Pour faciliter l’intégration dans des réseaux existants ils supportent la plupart des protocoles de routage. Les routeurs edge peuvent être automatiquement configurés sans nécessité d’intervention humaine via « Zero Touch Provisioning ».
Les edges envoient des informations de télémétrie au collecteur central, les évènements et alertes observées sur le réseau.
Enfin, les edges appliquent les règles de sécurité décrites dans le prochain blog (Application Firewall, URL Filtering, DNS security, …)
Serveur de management (NMS) de la solution Cisco SD-WAN. vManage est le point de contrôle central pour la configuration et la gestion de votre infrastructure mais aussi pour le monitoring ce qui en fait un outil unique pour les tâches « Day 0, Day 1 Day 2 ».
Afin de faciliter l’approche « DevOps » et l’intégration de Cisco SD-WAN à des solutions tierce, toutes les fonctions de configuration, de gestion et de monitoring disponibles dans l’interface utilisateur de vManage existent sous forme d’APIs.
vManage permet de limiter l’accès à certaines ressources SD-WAN via la ségrégation des profils utilisateurs avec la configuration de RBAC (Role Based Access Control).
Authors