Cisco France Blog
Partager
tweet

Cisco France Blog > Réseaux

Réseaux

Faites le plein d’innovations sur le SD-WAN avec IOS-XE 17.6


13 September 2021

Voici un aperçu en français des nouveautés de cette release étendue pour le SD-WAN, avec au programme de la sécurité, du cloud, de la visibilité améliorée sur les applications et l’expérience utilisateur. On combine des innovations stratégiques avec des réponses très pragmatiques aux demandes faites par nos très nombreux clients. C’est ça aussi le SD-WAN : la capacité de s’adapter très rapidement aux besoins émergents. Vous ne manquerez pas de regarder les release notes officielles… ce n’est pas parce qu’on va vite qu’on doit être moins exigent sur la documentation ! Des questions sur cette release ? Une feature semble manquer à l’appel ? Faite le savoir en commentaires !

 

Optimisation Cloud

 

  • On supportait nativement l’intégration d’AWS, Azure, GCP et Megaport, c’est maintenant Equinix qui rejoint le club des partenaires. Via un workflow simplifié sur le vManage vous pourrez étendre votre infrastructure vers Equinix et bénéficier à ce niveau d’un accès optimisé aux services internet.
  • Megaport est intégré depuis quelques mois. Dans cette nouvelle release, le workflow vous permet de créer automatiquement, depuis votre infrastructure virtualisée chez Megaport, des interconnexions vers vos VPCs chez Google ou vos VNETS (ou Virtual WAN) chez Microsoft Azure. Les interconnexions vers AWS étaient déjà possibles dans la version précédente.
  • Cloud onRamp for SaaS permet un accès optimisé au cloud en utilisant le meilleur chemin compte tenu de la réelle qualité des applications (probing HTTP fait). Dans cette version on va pouvoir faire cette optimisation SaaS à travers les tunnels SIG (Secure Internet Gateway, solution SASE de sécurité dans le cloud)
  • Intégration du Azure secured virtual hub au workflow Cloud onRamp si vous souhaitez mettre en place une sécurité définie sur Azure Firewall Manager.
  • Avec GCP aussi on a enrichi les workflows d’intégration. Le vManage va aller chercher dans le Google Service Directory les applications qui font partie de votre compte Google et il les ajoute automatiquement dans sa liste applicative. Après Microsoft O365 c’est donc GCP qui exploite le potentiel de SD-AVC qui permet d’enrichir directement depuis des sources extérieures la base de données applicative sur la fabric SD-WAN.
  • Des frameworks d’intégration Cloud onRamp c’est bien, avoir les détails de tous les objets créés et leur état c’est mieux quand il s’agit d’opérer. Nous avons donc enrichi le vManage et les workflows cloud onRamp pour vous fournir ces détails.

 

Sécurité

 

  • Un nouveau dashboard unifie l’ensemble des fonctions de sécurité pour mieux les intégrer entre elles. Plutôt que de définir des règles pour chaque composant de sécurité (firewall, d’IDS/IPS, d’url filtering, d’anti-malware etc.) vous définirez une règle de sécurité commune qui appellera potentiellement tel ou tel composant. L’expérience est ainsi grandement améliorée.
  • Support du Geofencing. Imaginez que quelqu’un vous dérobe votre routeur et essaye de se connecter à votre fabric SD-WAN depuis un autre lieu. Certes vous avez la possibilité d’invalider un routeur et ainsi l’empêcher de se connecter mais comment s’assurer automatiquement que les routeurs sont bien là où ils doivent être ? C’est tout l’objectif de cette fonctionnalité dans laquelle on va vérifier les coordonnées GPS du routeur avant sa connexion. Il est même possible de complètement effacer le routeur à distance en cas de déplacement ! Si cette fonctionnalité vous intéresse et que vous n’êtes pas en SD-WAN, sachez qu’il existe depuis longtemps des scripts EEM pour réaliser ces actions (par exemple ici)

 

Amélioration de l’expérience utilisateur

 

  • On l’a fait sur les switchs, c’était donc très fortement attendu sur le SD-WAN, vous pouvez déployer des agents ThousandEyes sur les WAN Edges et gagner encore en visibilité. On utilise les capacités intégrées de virtualisation des WAN Edges pour installer cet agent sous la forme d’un container. Un article est prévu sur ThousandEyes mais en attendant je vous recommande de regarder cette page.
  • Cisco SD-WAN offre depuis la 17.5 une optimisation DRE (Data Redundancy Elimination) sur la base de ce qu’on fait sur les appliances WAAS purement dédiées à l’optiWAN. Cette version 17.6 consolide le support en proposant divers profiles d’optimisation pour coller au mieux aux ressources disponibles (notamment la taille du disque).
  • Toujours sur l’optiWAN intégrée, on sait également booster les ressources du routeur en rajoutant une carte de compute UCS-E et en y déportant les fonctions AppQoE (TCP optimization et DRE)
  • QoS par VPN. Cela permet de limiter le trafic utilisateur pour un VPN (c’est-à-dire une VRF). Concrètement quand vous connectez plusieurs entités à votre réseau vous pouvez créer un VPN pour chacune et contrôler la consommation de chacune d’entre elles pour garantir que chacun dispose d’un accès aux ressources.
  • Un nouveau dashboard appelé NWPI (Network-Wide Path Insights) vous donne des informations ultra-complètes sur les flux que vous spécifiez. Sur une seule page vous avez toutes les informations associées au flux qui vous intéresse. Cet outil va vite devenir votre meilleur ami.
  • AAR (Application-Aware Routing) vous aide à choisir le meilleur chemin, ça vous le savez déjà je pense. Depuis quelques mois on va pouvoir calculer les performances des tunnels pour différentes classes de trafic (ie. DSCP). S’il n’y pas de drops pour les paquets EF, c’est peut-être différent pour les paquets marqués CS1… Il faut donc faire des mesurer pour les différentes classes de SLA fournies par l’opérateur (sur l’underlay). On supportait 6 SLA Classes, cette release permet d’aller encore au-delà.

 

Système, interfaces, routage…

 

  • Cette version est la première avec une nouvelle GUI sur le vManage qui améliore encore l’expérience. Les dashboards sont inspirés de ce que nous avons sur Cisco DNA Center pour apporter une meilleure ergonomie.
  • Dans cette nouvelle GUI on va trouver un workflow “Quick Connect” pour simplifier le bring-up des équipements IOS-XE (l’étape initiale de création d’un réseau SD-WAN). Un ensemble d’étapes simples vous permettent de démarrer votre fabric en quelques minutes.
  • Support du RBAC sur les policies pour encore mieux aider au co-management. Vous pourrez lire l’article que j’avais écrit sur ce sujet pour vous rendre compte du potentiel de Cisco SD-WAN côté RBAC.
  • On intègre la capacité d’avoir des statistiques temps réel dans de nombreux dashboards pour vous aider dans les démarches de troubleshooting “live”.
  • On l’attendait, on peut maintenant configurer les interfaces service (cad côté LAN) en Etherchannel. Dans la plupart des déploiements on n’a pas trop ce besoin car on utilise une redondance de niveau 3 entre plusieurs WAN Edge.
  • Support du Wi-Fi intégré aux WAN Edges Cisco1100 directement depuis le vManage. Initialement l’AP intégré devait être forcément managé par un contrôleur Wi-Fi (WLC) séparé, en grand bonheur de l’équipe Wi-Fi qui avait la gestion de tout le parc. Maintenant vous avez le choix, ce qui évite la mise en place d’un WLC spécifique quand il n’est pas déjà installé.
  • Côté routage on améliore les fonctions de route leaking existantes en permettant plus de contrôle sur les redistributions. On vous permet aussi de contrôler la distance administrative du protocole OMP de la fabric SD-WAN pour vous offrir plus de flexibilité et des scénarios de déploiement et migration plus variés.
  • Non SNMP n’est pas mort… Je vois beaucoup de client qui souhaitent intégrer leurs équipements SD-WAN dans leur plateforme de monitoring SNMP afin d’avoir une gestion globale des interfaces sans trop changer les habitudes. Le support de SNMP est largement étendu dans cette version y compris avec des nouvelles MIBs pour monitorer les policies en place.
  • Gestion des licences depuis le vManage en mode offline. Quand le vManage n’est pas connecté à Internet (assez rare quand même sur le SD-WAN), cela permet de synchroniser la consommation des licences avec votre Smart Account.
  • Support du MPLS CsC (Carrier Supporting Carrier). Je ne pense pas que cela intéresse le commun des mortels mais je liste ce point pour que vous compreniez la maturité de la solution et la richesse des déploiements que nous adressons.

 

Références

 

@JeromeDurand

 

Tags:
Laisser un commentaire