Les lecteurs les plus assidus ont découvert le SD-Routing dans mon dernier article consacré aux nouveautés apportées par la version 17.12 de notre solution SD-WAN. Le principe est simple: pouvoir intégrer dans le Catalyst SD-WAN Manager (aka vManage) des routeurs IOS-XE traditionnels (en mode autonome). Je vois 2 bénéfices principaux:
- Permettre de simplifier le management d’infrastructures déjà déployées, pour faciliter une migration future vers le SD-WAN
- Pouvoir intégrer dans une console de management unique des réseaux SD-WAN et des ensembles du WAN traditionnels qui n’ont pas vocation à basculer en SD-WAN (un backbone MPLS, une plateforme de peering, …)
Même si la solution Cisco Catalyst SD-WAN adresse toujours plus de cas d’utilisation, elle reste un sous-ensemble d’un domaine plus vaste: le monde du routage avec toutes ses fonctionnalités et sa diversité.
Pour intégrer un routeur IOS-XE dans le Catalyst SD-WAN Manager, il convient tout d’abord de vérifier qu’on est bien a minima dans la version IOS-XE 17.12 universalk9 (les images spécifiques de type NPE – No Payload Encryption – ne sont pas supportées)
ASH-R14#sh ver Cisco IOS XE Software, Version 17.12.01a Cisco IOS Software [Dublin], c8000aep Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 17.12.1a, RELEASE SOFTWARE (fc3)
Le management SD-Routing repose sur la mise en place d’un canal de communication sécurisé entre le routeur et le Catalyst SD-WAN Manager (nouveau nom du vManage). Comme pour le SD-WAN, ce canal de communication est initié par le routeur lui-même pour pouvoir passer simplement à travers NAT et firewalls. Pour établir cette connexion il faut:
- Paramétrer le Manager pour qu’il accepte la connexion du routeur
- Paramétrer le routeur pour qu’il puisse joindre son Manager
Regardons ces 2 étapes un peu plus dans le détail.
Configuration du Manager
Le Catalyst SD-WAN Manager doit être renseigné avec les informations suivantes de chaque routeur:
- Product ID (type de routeur)
- Numéro de série (identifiant inscrit sur le routeur)
- Numéro de série du certificat de l’équipement (SUDI) qui va garantir que l’équipement est bien le bon. Chaque équipement Cisco dispose en effet dans sa mémoire d’un certificat qui permet de signer son numéro de série et ainsi garantir son authenticité.
On peut récupérer ces informations directement sur le routeur.
ASH-R14#show crypto pki certificates CISCO_IDEVID_SUDI Certificate Status: Available Certificate Serial Number (hex): 04502262413124123456 Certificate Usage: General Purpose Issuer: o=Cisco cn=High Assurance SUDI CA Subject: Name: C8500-12X Serial Number: PID:C8500-12X SN:TFM15987654 cn=C8500-12X ou=ACT-2 Lite SUDI o=Cisco serialNumber=PID:C8500-12X SN:TFM15987654 Validity Date: start date: 01:13:31 UTC Jul 29 2021 end date: 20:58:26 UTC Aug 9 2099 Associated Trustpoints: CISCO_IDEVID_SUDI
Une fois ces paramètres récupérés je vais pouvoir les ajouter sur le Catalyst SD-WAN Manager. Deux options ici:
- Soit vous éditez manuellement un fichier CSV avec l’ensemble des équipements (un équipement par ligne), et le charger sur le Catalyst SD-WAN Manager (je ne donne pas plus de détails, vous aurez compris)
- Ou bien vous renseignez simplement l’équipement dans votre portail Cisco PNP connect (sur https://software.cisco.com). Vous prendrez soin de bien spécifier le “device mode AUTONOMOUS” pour indiquer qu’il ne s’agit pas d’un équipement migré en SD-WAN. Une fois l’équipement saisi, il sera possible de l’importer sur le Catalyst SD-WAN Manager via une simple synchronisation.
Quelque soit la méthode retenue, l’équipement apparaîtra en attente dans votre liste sur le Catalyst SD-WAN Manager (vManage).
Configuration du routeur
Il faut maintenant configurer le routeur pour joindre le Catalyst SD-WAN Manager. Cela se fait avec quelques lignes de CLI:
sd-routing organization-name MY-LAB site-id 84 system-ip 10.0.254.14 vbond ip 200.200.210.10 vbond port 12346 wan-interface Loopback255
Il est important de noter qu’à l’instar du SD-WAN, le routeur ne va pas joindre directement son Manager. On lui demande de pointer vers le vBond (de son nouveau nom le “Catalyst SD-WAN Orchestrator”) qui va faire les vérifications de certificats avant de rediriger l’équipement vers le Catalyst SD-WAN Manager. Après quelques secondes, le routeur apparaît “In Sync” dans la GUI du Manager.
Il est intéressant de souligner que le routeur peut très bien changer d’adresse, cela n’aura aucun impact, c’est un des avantages certains d’initier la connexion vers le Manager depuis le routeur lui-même. Vous pouvez également noter le fait que le routeur apparaît comme “Unmanaged” ce qui signifie qu’il reste possible de modifier la configuration de l’équipement localement. Vous restez donc libres de configurer le routeur comme bon vous semble, avec potentiellement d’autres outils si vous le souhaitez.
Une fois le routeur connecté au Manager, on va pouvoir immédiatement disposer de nombreuses informations quant à l’équipement dans le Catalyst SD-WAN Manager… Informations d’environnement, statistiques sur les interfaces, logs…
On peut également réaliser des actions de troubleshooting comme des pings ou traceroutes.
Il est possible également de réaliser des upgrades d’IOS-XE et d’appliquer des patchs (appelés SMUs). Si plusieurs routeurs sont présents sur le même site, le Catalyst SD-WAN Manager va séquencer les upgrades pour garantir que le site n’est jamais coupé.
Vous avez pu voir un tour d’horizon du SD-Routing. Bien d’autres fonctionnalités vont être ajoutées dans les prochaines versions. Aussi ne laissez pas vos routeurs sans Manager!
Matériel utilisé
- Catalyst SD-WAN Manager version 20.12.1
- Routeur Catalyst 8500-12X version 17.12.1a
- Licence Network Advantage avec DNA Advantage
Plus d’informations
2 commentaires
Bonjour Jérôme,
Merci pour ce nouvel article.
2 questions me viennent à l'esprit:
– Est-il possible de pousser de la configuration via le Manager sur ces routeurs non-SD-WAN? En roadmap?
– Dans un environnement où DNAC et SD-WAN Manager sont présents, y a-t-il potentialité d'overlap voire de conflit au niveau Assurance? Et au niveau config (si prochainement supporté par le Manager)?
Merci,
Sylvain.
Bonjour Sylvain,
Merci pour ton intérêt et tes questions. Je rappelle que la 17.12 est la première version qui intègre SD-Routing, les débuts sont prometteurs et on va ajouter pas mal de fonctionnalités dans les versions à venir.
– Pour le moment pas de configuration en 17.12 SD-Routing mais ça va venir très vite.
– Sur ta seconde question je te propose de me contacter directement (sur linkedin si tu n'as pas mes coordonnées). Ca permettre a de regarder dans le détail ce que tu souhaites faire et valider la faisabilité. Globalement on voit peu d'usages de ces 2 outils en même temps.
Merci!