BeLux Blog

SD-WAN (3/3) : les 4 avantages principaux de Cisco SD-WAN

4 min read



Nous voilà avec le troisième et dernier volet de notre série sur le software-defined WAN. Nous savons déjà que le réseau WAN est revenu en force grâce à la technologie SD, et nous avons également analysé son architecture. Mais quels sont les pruincipaux atouts du SD-WAN?

1 – Gestion centralisée de l’ensemble des routeurs du domaine WAN

vManage est le point central de gestion, d’observation et de configuration de l’infrastructure Cisco SD-WAN.

vManage facilite les points suivants :

      • Modèle de déploiement “Zero Touch” ne nécessitant aucune intervention de l’utilisateur pour configurer et incorporer de nouveaux routeurs dans l’infrastructure SD-WAN. Seule la validation de l’incorporation d’un routeur à la fabrique Cisco SD-WAN requiert une action de l’administrateur.
      • Une simplification significative la gestion et du monitoring du WAN
      • Une rapidité d’exécution accrue puisque toutes les commandes sont envoyées en mode parallèle aux éléments du WAN par opposition à une approche séquentielle classique (CLI).
      • Une plus grande cohérence dans la configuration des équipements WAN minimisant ainsi le risque potentiel d’erreurs de configuration.
        Avez-vous déjà entendu parler du concept de “mean-time-between-mistake” ou MTBM ?

En comparaison à une approche classique où chaque équipement réseau doit être géré séparément, ces points deviennent très pertinents en ce qui concerne les économies potentielles réalisées sur l’OPEX. Grâce à vManage les utilisateurs peuvent gérer indifféremment les plateformes Cisco SD-WAN physiques ou virtuelles. Cette approche offre une grande flexibilité notamment pour nos clients qui souhaitent étendre leur infrastructure depuis leurs succursales et leurs datacentres jusque dans les clouds publics ou privés.

2 – Solution transport “agnostique”

De manière générale, la solution Cisco SD-WAN fonctionne par défaut en établissant des tunnels GRE/IPSEC entre tous les éléments constituants le plan de donnée du domaine (edges) et sur n’importe quel type de réseau, qu’il s’agisse de MPLS, Internet, LTE, etc..

Si les performances observées sont dans les limites des standards de leur entreprise, cette flexibilité permet aux utilisateurs Cisco SD-WAN de router principalement le trafic WAN sur les liens à coûts opérationnels plus faibles (Internet) de sorte à réduire l’OPEX.

C’est d’ailleurs une observation faite au niveau global sur les réseaux Cisco SD-WAN par notre collègue Jean-Philippe Vasseur en charge du département ML/AI. Dans certaines régions du monde, les connexions Internet classiques peuvent présenter de meilleures performances en terme de SLA que les liens MPLS et donc favoriser la bascule du trafic entreprise sur les liens internet.
Car comme le dirait un de nos interlocuteurs privilégiés au Luxembourg: si Internet est indisponible, il est probable que ça fasse la une des journaux. Si votre connexion MPLS tombe, personne à part vous n’en parlera.

3 – Routage intelligent du trafic utilisateur

Améliorer et préserver la qualité de l’expérience utilisateur (vQoE) est au cœur la solution Cisco SD-WAN et l’une des fonctions utilisées pour atteindre ces objectifs est le routage intelligent des applications.

En fait, c’est assez simple, tous les routeurs d’accès qui participent à l’infrastructure SD-WAN initient automatiquement des sessions BFD au moment où ils établissent des tunnels GRE/IPSEC entre eux. Ces sessions BFD monitorent en temps réel les performances de jitter, de délai et des pertes de paquets à l’intérieur des tunnels.

Les routers Cisco SD-WAN contiennent également une fonction nommée “Deep Packet Inspection” (DPI) qui permet d’analyser jusqu’à 2300 applications – y compris les applications cloud comme Office 365, SalesForce, Google Apps, etc..

Les informations des performances des tunnels via BFD et l’inspection approfondie des paquets (DPI) sont ensuite combinées dans les règles de routage applicatif.

Une fois les applications identifiées par notre moteur d’inspection, elles peuvent être “dé-routées” du tunnel dans lequel on observe des performances dégradées. Ensuite, les applications sont re-routées sur le tunnel présentant de meilleures performances que celui sur lequel elles transitaient précédemment et ce routage dynamique dure tant que les performances du tunnel sont dégradées.
Lorsque les performances reviennent à la normale, les trafic sera re-routé sur le tunnel d’origine sans aucune intervention humaine.
Cette suite d’opérations automatisées permet de garantir la meilleure qualité d’expérience utilisateur (vQoE) possible.

Aussi, si votre succursale possède son propre accès Internet, l’architecture Cisco SD-WAN a la capacité d’utiliser ce lien pour router certaines applications directement sur Internet sans passer par l’infrastructure SD-WAN.


4 – Sécurité intégrée 

Afin de compléter la solution, les routeurs Cisco SD-WAN intègrent désormais les fonctions de sécurité suivantes :

      • Architecture excluant le concept de confiance par défaut. Tous les routeurs doivent s’authentifier via un certificat avec les controllers avant de pouvoir participer à l’architecture Cisco SD-WAN.
      • Pare-feu applicatif dynamique de type “stateful” capable d’analyser plus de 1400 applications.
      • Système de prévention des intrusions basé sur Snort pour une analyse du trafic en temps réel. La mise à jour automatique des signatures est assurée par notre division sécurité Talos leader dans le domaine.
      • Filtrage d’URL capable d’identifier plus de 82 catégories web et de bloquer les pages sur la base de réputation.
      • Protection DNS avec Cisco Umbrella. Grâce à un réseau de surveillance global qui observe plus de 175 milliards de requêtes DNS par jour, cette fonction apporte la visibilité en temps réel des événements sécurité critiques tels que les malwares, les ransomwares et le phishing.
      • Sécurisation des machines et applications coté utilisateurs avec l’authentification multi-facteurs DUO Security

Pour tout simplifier, toutes ces fonctionnalités de sécurité ainsi que leur monitoring (à l’exception de DUO), sont disponibles dans la console de gestion vManage.

En conclusion, si la technologie SD-WAN vous intéresse, si vous prévoyez un projet qui inclut SD-WAN ou si vous voulez en savoir plus, contactez-nous !

Authors

Thibault Mean

Systems Engineer

Sales - BeLux

Laisser un commentaire