Catalyst SD-WAN? Vous l’appeliez peut-être Cisco SD-WAN ou encore Cisco Viptela… Là aussi nous avons convergé vers la dénomination Catalyst qui s’impose sur les réseaux d’entreprise avec l’operating system IOS-XE. La dernière release 17.12 sortie cet été apporte encore une fois un grand nombre d’innovation. Il s’agit d’une “extended maintenant release” qui dispose d’un cycle de vie long (avec de nombreux rebuilds et corrections de potentielles failles de sécurité). Ce type de release doit toujours être privilégié sur les réseaux de production. Regardons ensemble les nouveautés principales. N’hésitez pas à regarder les release notes pour avoir le détail complet des nouveautés apportées par cette version.
Un peu de vocabulaire…
Comme dit plus haut, la solution a été rebaptisée Cisco Catalyst SD-WAN, et nous avons également renommé certaines composantes:
- Le vManage (plateforme de management – le fameux dingle pane of glass) devient Cisco Catalyst SD-WAN Manager
- Le vAnalytics (plateforme de visibilité avancée) devient Cisco Catalyst SD-WAN Analytics
- Le vBond (permettant notamment le ZTP sécurisé) devient Cisco Catalyst SD-WAN Validator
- Le vSmart (contrôleur de l’infrastructure pour l’échange des routes, des tunnels et des policies) devient le Cisco Catalyst SD-WAN Controller
Côté GUI – UX 2.0
Depuis environ 2 ans nous avons entamé un chantier de transformation de la GUI du Cisco Catalyst SD-WAN Manager. Cette release apporte encore énormément d’amélioration à tous les niveaux:
- Ajout de nouvelles fonctionnalités dans les Configuration Groups qui remplacent petit à petit les device templates en offrant une plus grande simplicité de configuration
- Workflow de configuration par site (et non par équipement)
- Carte de site qui permet d’afficher la vue complète d’un site et tous ses équipements, les accès WAN et interfaces internes.
- Ajout des policy groups qui simplifient considérablement la gestion des policies (comme les configuration groups ont simplifié les templates) et vos règles de sécurité.
- Ajout de menus contextuels à tous les niveaux pour pouvoir lancer simplement des opérations de troubleshooting ou obtenir des informations complémentaires.
- Ajout d’une aide contextuelle “DNA Sense” intégrée.
- Gestion fine des tags pour pouvoir mieux associer des équipements à leur configuration (par exemple en associant à un groupe de configuration tous les équipements dont le tag commence ou termine par une certaine chaîne de caractères)
- Amélioration du mode multi-tenant pour avoir une visibilité sur les équipements qui sont associés à plusieurs tenants
- Meilleur affichage des alarmes
- Nouveau dashboard de sécurité
- Visibilité des tunnels sur une carte interactive avec informations.
Mon collègue Aymeric Marchand avait fait fin 2022 une petite vidéo “muette” d’introduction de la GUI UX2.0. Cette release 17.12 vient donc compléter une transition largement entamée. A nouveau n’allez pas chercher à régler le son de votre ordinateur, pas d’audio sur cette vidéo.
Je m’arrête là pour les améliorations sur la GUI du Cisco Catalyst SD-WAN Manager. Je reviendrai certainement sur ce sujet dans un article ad-hoc avec davantage de captures d’écran et vidéos. Et surtout n’hésitez pas à tester cette nouvelle GUI vous-même prochainement pour vous faire une idée.
Côté sécurité
- Support de service-side MACSEC, pour pouvoir chiffrer avec MACSEC les flux depuis/vers le réseaux d’entreprise.
- Capacité de transporter des flux IPv6 sur des tunnels IPsec (ou GRE) à destination de la plateforme de votre choix. Un cas d’utilisation évident est le SASE: combiner Catalyst SD-WAN à une plateforme de sécurité dans le cloud pour les flux IPv4 et aussi IPv6. A noter les tunnels peuvent utiliser un transport IPv4 ou IPv6.
- Le module d’inspection avancé repose maintenant sur Snort3 (au lieu de Snort2 jusqu’à présent) pour davantage de performance et de sécurité.
- Cisco Catalyst SD-WAN intègre depuis quelques années la gestion des utilisateurs distants via un accès VPN vers le WAN Edge le plus proche. Jusque là ces accès distants étaient fournis exclusivement via tunnels IPsec. Cette version apporte également le support des connexions SSL
- Intégration avec la solution MFA (Multi-Factor Authentication) Cisco DUO
Côté infrastructure
- Support du routage symétrique, pour garantir que les flux aller/retour sur la fabric SD-WAN soient transportés par le même tunnel. Jusque là c’était l’application de policies “cohérentes” qui permettaient l’utilisation de chemins symétriques. Maintenant cela est réalisable plus simplement directement au sein du plan de contrôle et la gestion d’affinités.
- NAT66 peut maintenant être configuré sur plusieurs accès WAN pour permettre un DIA IPv6 sur plusieurs opérateurs.
- Il est maintenant possible d’intégrer le support de routeurs Cisco non-SDWAN dans le vManage avec la fonctionnalité SD-Routing. Cela vous permet dans un même dashboard de manager à la fois votre SD-WAN et votre WAN traditionnel.
-
Support de Enhanced Application-Aware Routing (EAAR) qui permet de détecter la qualité d’un tunnel SD-WAN via l’analyse des en-têtes IPsec. Cela accélère la convergence en cas de fluctuation de la qualité d’un tunnel SD-WAN et alléger les pré-requis sur les sondes BFD utilisées pour qualifier chaque tunnel. (L’info arrivera dans les release notes sous peu… vous avez là une exclusivité reseauxblog!)
-
Support des WAN Edges Multi-tenant. Jusque-là les contrôleurs étaient multi-tenant mais les WAN Edges ne l’étaient pas. Cette version vous permet donc de déployer un WAN Edge qui appartient à plusieurs tenants. Le RBAC permet évidemment des droits différenciés fins selon le tenant. Plus d’informations ici.
Côté AIOps
- La solution WAN Insights permet, via l’utilisation de machine learning sur la télémétrie récoltée de tout votre réseau, de voir comment il est possible d’optimiser vos policies pour agir en amont. Plutôt que de laisser le SD-WAN réagir et corriger les problèmes, vous vous assurez proactivement que les règles définies permettent déjà à la base de garantir les meilleurs performances. Depuis cette version 17.12, il est possible d’appliquer automatiquement les recommandations faites par WAN Insights.
- NWPI – Network Wide Path Insigths vous connaissez? C’est votre meilleur ami pour troubleshooter votre réseau SD-WAN, comprendre ce qui ne marche pas sur un site, voir précisément comment les flux sont traités, vous faire des rapportés détaillés sur la QoS et l’usage des liens par application. A chaque démo c’est l’effet Wahoo assuré tant l’outil correspond parfaitement aux préoccupation des équipes opérationnelles. Cette nouvelle version 17.12 améliore encore cet outil NWPI en permettant des traces sur plusieurs VPN (ou VRF) simultanément. Cette version apporte également des rapports encore plus détaillés en permettant de rajouter des tests “factices” et observer leur comportement (parfait en cas d’absence d’utilisateur sur site). Et encore plus important nous avons la capacité de déclencher automatiquement des traces NWPI quand certains problèmes réseau surviennent. Pour ceux d’entre vous qui veulent un aperçu de NWPI, jetez un coup d’oeil à cette vidéo de la chaîne Youtube du blog. (attention pas d’audio, à vous de faire le doublage!)
Côté Cloud
- Intégration avec AWS Cloud WAN pour automatiser l’utilisation du réseau d’AWS comme WAN pour l’interconnexion de vos sites entre eux ou de vos régions AWS entre elles.
- Augmentation des capacités sur Azure via la prise en compte des instances D16_V5. Avec d’autres améliorations en termes de scaling horizontal on a ainsi une capacité d’agrégation de 40Gbit/s sur Azure.
- Si vous utilisez l’intégration avec Equinix pour étendre automatiquement votre réseau Catalyst SD-WAN vers la solution SDCI d’Equinix, vous pouvez lancer un audit pour vérifier que la configuration sur Equinix automatisée par le Catalyst SD-WAN Manager n’a pas été modifiée (A noter nous pouvions déjà faire ce type d’audits sur AWS, Azure, GCP, Megaport…)
Comme à chaque fois beaucoup de nouveautés sur lesquelles je pense revenir prochainement. Mettez à jour vos labs et dites moi ce que vous pensez de l’UX 2.0 en commentaires.