J’avais annoncé la fonction Open Plug and Play dans mon post annonçant la sortie officielle du contrôleur APIC-EM pour les réseaux d’entreprise. L’idée est simple: cela fait pas mal de temps déjà que nous n’avons pas besoin de configurer un AP ou encore un téléphone quand nous le branchons sur le réseau, pourquoi ne pas faire pareil avec les autres équipements réseau (commutateur, routeur…) ?
Un peu d’histoire
Le Zero Touch Deployment (ZTD) n’est pas un concept nouveau. Vous vous rappelez peut-être de smart-install, d’auto-install, ou encore de CNS. Toutes ces fonctions offrent toutes des possibilités d’auto-configuration mais aucune n’est suffisamment complète pour adresser tous les cas de figure. Le rachat de Meraki par Cisco il y a bientôt trois ans a montré la voie sur le besoin de simplifier, y compris pour le ZTD.
Un agent Open PNP a donc été développé et est disponible sur la plupart de nos équipements réseau depuis près d’un an. Il permet de découvrir la présence d’un serveur Open PNP et de récupérer depuis ce dernier une configuration, un IOS, et ce de manière sécurisée. La solution est évolutive et d’autres éléments pourraient être provisionnés automatiquement si cela était utile.
Comment découvrir le serveur Plug and Play?
La découverte du serveur Plug and Play doit pouvoir se faire dans tous les cas de figure. Si sur un campus il peut être aisé d’utiliser DHCP par exemple on comprend que ça ne sera pas possible d’utiliser cette même méthode quand on voudra installer un routeur d’accès sur un site où rien n’est encore déployé. La solution Open plug and play s’adapte à tous ces cas de figure en proposant un certain nombre d’options différentes pour découvrir le serveur:
- DHCP: ici on reprend la fameuse option 43 pour envoyer l’adresse du serveur Open Plug and Play (la syntaxe exacte est documentée dans le solution guide en référence de cet article).
- DNS: l’équipement va essayer de résoudre pnpserver.mydomain.com (cas ou un DHCP aurait fourni toutes les infos de connexion au réseau à l’exception de l’option 43)
- Clé USB: ici on est davantage sur un développement sur site distant. L’idée est simple, on rajoute une configuration de bootstrap dans un fichier ciscortr.cfg placé sur une clé USB qu’il suffira d’insérer dans le routeur. L’équipement ira chercher lire ce fichier de configuration et récupèrera ainsi les infos basiques de connexion au réseau et bien évidemment l’IP du serveur PNP.
- Mobile app: ici même principe que pour une clé USB sauf qu’on va utiliser un smartphone et surtout le câble qui va bien pour connecter le smartphone au port console de l’équipement. L’application va communiquer avec le serveur PNP (via 4G par exemple) et pousser sur l’équipement la configuration de bootstrap.
Il existe également d’autres méthodes comme l’utilisation d’un proxy smart-install. Nous aurons également bientôt une solution cloud pour faire la relation entre l’équipement et son serveur PNP. Nul doute que vous trouverez une solution qui vous conviendra.
Pourquoi Open ?
La solution a été conçue pour être ouverte. Tout le monde peut déployer son serveur ou intégrer un agent PNP sur ses équipements. Le protocole est documenté. Ouvert également car le serveur PNP est programmable depuis des API publiques. Prime Infrastructure peut ainsi programmer le serveur Plug and Play avec des IOS, et fichiers de configuration (nul besoin d’accéder directement au serveur PNP qui prend ses ordres d’entités extérieures).
Une solution sécurisée
Dès que le process d’auto-configuration commence, un certificat est poussé sur l’équipement réseau et le transport de tous les éléments et ensuite chiffré (TLS).
Les derniers équipements Cisco intègrent un SUDI (Secure Unique Device Identifier). Il s’agit d’un certificat présent dans le hardware des équipements modernes qui permet d’authentifier son numéro de série. Le SUDI a été ajouté à la solution PNP. On évite ainsi qu’un équipement se présente auprès du serveur PNP avec un faux numero de série pour récupérer des éléments de configuration.
Une solution simple, robuste et manageable!
Le mode client-serveur rend la solution extrêmement simple et robuste. Quand un équipement se présente auprès du serveur PNP, 2 cas de figure peuvent se produire:
- Soit des règles de configuration ont été prédéfinies et tous les éléments sont automatiquement provisionnés.
- Soit il n’existe pas de règle et on peut a posteriori demander à “récupérer” l’équipement dans le réseau via un simple click. A ce moment on va définir l’IOS et la configuration à pousser.
Pour chaque action le serveur garde des traces et offre ainsi un haut niveau de compréhension à l’administrateur réseau.
Quels équipements?
Les routeurs, switchs, contrôleurs WiFi et même les points d’accès WiFi sont supporté (je vous laisse vérifier les versions à partir desquelles l’agent est supporté). Certains pourront se demander à juste titre le besoin d’une telle solution pour les AP vu qu’on a du ZTD depuis l’existence même des contrôleurs!
L’avantage de la solution Open PNP est de pouvoir provisionner l’AP group name sur le point d’accès. Sur des déploiements WiFi en mode flexconnect, une action manuelle reste nécessaire pour associer un AP à un AP-group. Cela se fait en 3 clicks sur le contrôleur WiFi mais ça peut faire trop quand on doit déployer des milliers d’AP. Ici le point d’accès découvrira le serveur PNP via DHCP, qui en fonction du numéro de série provisionner l’IP du contrôleur et l’AP group name si besoin (et tout autre paramètre si on le souhaite).
Envie de tester?
Rien de plus simple. Installez APIC-EM (à récupérer depuis devnet, c’est gratuit!) et commencez à vous faire la main. Il vous suffit d’un équipement et vous pourrez tester en quelques minutes divers modes d’auto-configuration, via DHCP, DNS ou clé USB par exemple. Vous pourrez ensuite valider comment pousser les configurations depuis Prime Infrastructure par exemple, ou encore interconnecter vos propres outils de provisioning en utilisant l’API REST documentée du contrôleur APIC-EM.
Pas de rapport de test dans cet article?
Et non! Mais les aficionados du blog se rappellent sans doute de la démo que j’avais faite en mai dernier dans un webinar reseauxblog SDN. Vous pouvez regarder l’enregistrement à partir de 50 min environ pour la démo.
Je vais aussi faire un webinar reseauxblog dédié au PNP, en montrant l’interaction avec Prime Infrastructure. La date pourrait être le 6 avril. Suivez les prochaines annonces sur le blog.
Plus d’informations
- Plug and play solution guide
- Guide de configuration de l’agent plug and play
- Page APIC-EM sur Devnet