Cisco France Blog

Migrer vers Cisco SD-Access n’a jamais été aussi simple !

4 min read



Quand je présente la solution Cisco SD-Access, j’ai toujours le même retour… Il n’y a pas de doute sur le QUOI : Cisco SD-Access est exactement la solution appropriée car elle répond à toutes les problématiques des réseaux d’entreprise (automatisation, visibilité et expérience utilisateur, sécurité et segmentation). En revanche c’est le COMMENT qui suscite quelques interrogations : comment assurer une transition simple d’une architecture classique vers Cisco SD-Access. Dans ce début d’année 2021, plusieurs améliorations ont été apportées pour faciliter l’adoption de SD-Access avec des approches progressives. Une excellente présentation Cisco Live de Jerome Dolphin détaille les nouvelles stratégies de migration qui s’offrent à vous. Finie l’époque de “tout ou rien”, vous avez maintenant la capacité de faire une transition en douceur, en adoptant tout ou partie des services, sur la portion d’infrastructure que vous souhaitez. Explications…

Déploiement Cisco SD-Access sur le cœur uniquement

C’est une question qui revenait souvent : est-il possible de déployer un switch derrière un Edge Node (nœud Cisco SD-Access d’extrémité de fabric) ?

Initialement, cette option n’était pas permise : l’objectif étant d’assurer une sécurité et une segmentation de bout en bout, il fallait que la fabric intègre les équipements d’accès au réseau. En effet, comment garantir qu’une règle de sécurité est effective si un équipement réseau ouvre des brèches dans l’infrastructure et permet par exemple de connecter un équipement non autorisé sur un segment de la fabric.

Mais quand il s’agit de migrer, on ne peut pas tout faire d’un coup. Parfois on va souhaiter migrer le cœur uniquement en conservant les accès existants (en pur L2). On va maintenant pouvoir créer une fabric entre des équipements de cœur ou distribution qui vont communiquer ainsi en VXLAN en garantissant la segmentation, tout en conservant derrière des switchs d’accès qui seront connectés par des trunks Ethernet. A chaque segment de la fabric on va pouvoir faire configurer le numéro de VLAN adapté pour assurer la communication. Donc pour résumer derrière un Edge Node vous faites maintenant ce que vous voulez.

Cette option peut tout à fait permettre de remplacer un MAN MPLS par un MAN SD-Access pour propager des VRF ou des VLANs sans avoir à configurer un underlay MPLS et s’affranchir de la complexité inhérente puisque tout sera configurable depuis Cisco DNA Center.

Cisco SD-Access sans ISE

Si ISE (Identity Services Engine) est présent chez une grande majorité des clients, notamment des plus importants qui ont besoin de sa scalabilité et de ses fonctionnalités inégalées, on doit parfois composer avec d’autres plateformes AAA qui ne peuvent pas être migrées immédiatement. Initialement Cisco SD-Access nécessitait absolument ISE pour pouvoir automatiser pleinement la chaîne d’authentification et assurer la micro-segmentation.

Mais là aussi c’est une question de compromis et de phasage d’opérations. On ne peut pas toujours tout migrer en même temps et on a validé la possibilité de monter la fabric SD-Access sans ISE, qui pourra éventuellement être rajouté dans un second temps. Évidemment on perd alors la micro-segmentation qui pourra être activée ensuite. Dans cette première phase on peut déjà automatiser tout le réseau et activer la macro-segmentation qui est une première étape pour beaucoup.

Fabric uniquement L2

Certains clients ont fait le choix il y a quelques années de configurer leur firewall comme default gateway et de configurer des réseaux de campus purement L2 (chaque VLAN remonte au firewall qui route les paquets). Si je ne suis pas vraiment fan de ces déploiements (étendre du L2 n’ayant jamais aidé à avoir des infrastructures stables…) je comprends l’idée d’apporter la sécurité au plus près du routage.

Évidemment avec Cisco SD-Access la sécurité est complètement intégrée au réseau et ce type d’infrastructure perd son sens. Cependant migrer d’une infrastructure pure L2 à une infrastructure IP distribuée ne peut pas forcément se faire en un jour, à la fois pour des raisons techniques et humaines (changer un design de firewall peut prendre du temps !)

Ici aussi on offre une solution de migration immédiate puisqu’il est possible de déployer une fabric qui ne fera que du L2 (le routage restant fait sur le firewall). L’avantage est que cela permet d’arrêter immédiatement avec le spanning-tree sur l’ensemble du réseau (on repose sur LISP et un underlay routé) et cela pose les bases d’un design plus distribué pour le futur. On bénéficie également des services inhérents à Cisco SD-Access (automatisation, visibilité et sécurité) avec la GUI de Cisco DNA Center.

L’importance du Cisco SD-Access Design Council

Derrière toutes ces modifications il y a une entité qui reste tapie dans l’ombre : le Cisco SD-Access Design Council. Il s’agit d’une équipe d’ingénieurs qui analysent de près toutes les demandes de déploiements “non-standards” pour apporter des solutions. Ils collectent ainsi les souhaits réels des clients et font ainsi évoluer l’architecture SD-Access pour coller exactement aux besoins réels des équipes opérationnelles. Ce sont eux qui ont pu décortiquer ces dernières années les besoins en termes de migration et qui ont pu rendre davantage d’options disponibles, maintenant que les fondamentaux sont largement posés.

Ne pas oublier Cisco DNA Center !

Je profite de cet article pour rappeler un élément fondamental : ne surtout pas attendre d’avoir migré toute l’infrastructure en SD-Access pour utiliser Cisco DNA Center ! En effet Cisco DNA Center (DNAC de son petit nom) offre de très nombreuses fonctionnalités y compris sur des infrastructures traditionnelles : automatisation, supervision, visibilité applicative, services… Si une migration vers SD-Access demande parfois un peu de réflexion, il ne suffit que de quelques minutes pour intégrer des équipements dans l’inventaire DNAC et bénéficier de ses services. Il convient de penser globalement et de ne pas se focaliser uniquement sur la partie du réseau qui va être migrée en SD-Access. Vous maximiserez ainsi d’autant plus votre investissement.

Références

@JeromeDurand

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire