C’est une autre annonce très importante du dernier Cisco Live US, la redéfinition du routage d’accès pour la prochaine décennie avec les nouveaux Cisco 8000 Secure Routers. Si vous ne deviez retenir qu’une chose: des performances boostées pour une sécurité Post-Quantum resistant grâce à un tout nouveau Secure Network Processor.
Une nouvelle gamme complète
La famille Cisco 8000 Secure Routers se compose de plusieurs modèles permettant de répondre aux besoins du petit site distant au datacenter, en passant par les grands sites et même les campus.
La famille Cisco 8000 Secure Routers
Impossible de donner ici une description complète, je souligne ici quelques éléments notoires:
- Des performances largement augmentées couvrant les besoins du petit site distant au campus ainsi que l’agrégation sur les datacenters. On note qu’on démarre à 1Gbit/s sur les petits sites avec fonctions IDS/IPS!
- On conserve l’operating system IOS-XE pour simplifier l’adoption de ces plateformes.
- Modèles C8100, C8200 et C8355-G2 fanless avec alimentations externes, permettant d’avoir de très hautes performances dans des environnements contraints.
- Les interfaces 25GE font leur apparition sur le WAN sur les C8400 parfaitement adaptés pour les besoins des Campus. Interfaces 10GE embarquées sur C8200 et C8300.
- Modules d’interfaces et de service disponibles sur le C8375-E-G2 uniquement. Des modules PIM radio sont eux supportés sur certains C8100, C8200 et tous les C8300.
- Les 8500 Secure Routers sont très proches des Catalyst 8500 actuels et sont basés sur l’ASIC QFP3.0. Ils fournissent des interfaces 40GE voire 100GE selon les modèles. Ces plateformes d’agrégation WAN supportent un très grand nombre de tunnels IPsec.
On note que comme pour les derniers commutateurs annoncés, adieu la dénomination Catalyst, une page se tourne! Après tout appelons un chat un chat: ce sont des routeurs qui offrent des fonctions de sécurité avancées et une performance accrue, Secure Routers est le nom parfait.
La sécurité, élément fondateur de ces nouveaux routeurs
Ce qui est frappant est l’augmentation considérable des performances pour les fonctions de sécurité par rapport aux familles précédentes. Les débits IPsec sont en forte hausse mais c’est surtout le débit pour l’analyse des menaces IDS/IPS (Threat protection) qui fait un bon en avant.
Ces routeurs sont conçus avec en tête l’imminence d’une nouvelle ère Post Quantum. La question n’est plus de savoir si tous nos algorithmes de chiffrement asymétriques actuels vont être mis à mal, mais quand cela va arriver. Notez bien que côté chiffrement du trafic, on n’est pas vulnérables, ce sont les protocoles d’échange de clé qui le sont. Aujourd’hui ces routeurs permettent d’utiliser des PPK (Post-quantum Preshared Keys) configurées manuellement ou bien distribuées via des solutions externes QKD (Quantum Key Distribution) et communiquées au routeur via API SKIP. D’autres solutions plus récentes pour l’échange de clé seront ajoutées au fur et à mesure, les plateformes étant conçues pour faire face à cette nouvelle ère Post Quantum.
Support du chiffrement Post-Quantum ready
Mais revenons en 2025 et à nos préoccupations opérationnelles actuelles. Chaque routeur intègre des fonctions de Next-Gen firewall (application-aware, identity-aware) et d’inspection avancée (déchiffrement TLS, IDS/IPS, malware protection, URL filtering). La configuration de ces fonctions de sécurité est simplifiée avec le Catalyst SDWAN manager qui va offrir des menus simples et fournir les logs attendus par les équipes de sécurité. Vous pourrez bénéficier de cette gestion simplifiée que vous soyez en SDWAN ou en SD-Routing.
Configuration du C8000 Secure Router NG Firewall
Ces routeurs s’intègrent nativement avec Cisco Secure Access (solution de sécurité aaS) offrant ainsi une solution SASE complète. Un dashboard Cisco Security Cloud Control permet de piloter à la fois règles de sécurité présentes sur les routeurs, dans la solution de sécurité cloud Cisco Secure Access, mais aussi les firewalls et les Meraki MX. Je reviendrai sur ce thème mais retenez avant tout qu’il est possible d’avoir un seul point de configuration de sécurité pour l’offre SASE Cisco.
En plus, WAN MACsec supporté sur tous les ports WAN. Permet un chiffrement sur le lien tout en laissant le champ 802.1q en clair permettant à l’opérateur d’acheminer le VLAN sur son réseau.
Une gamme hybride routing / SD-WAN
Tout comme les prédécesseurs, chaque équipement peut fonctionner en mode routeur (avec fonction SD-Routing) ou SD-WAN à l’exception des plus petits modèles 8130-G2 et 8140-G2 qui gardent une fonction de routeur sécurisé uniquement. L’operating system IOS-XE continue de permettre avec un seul binaire de booter en mode “autonomous” (routeur standard) ou en mode “controlled” (SD-WAN). Cette bascule peut se faire manuellement ou encore automatiquement au moment du Zero Touch Provisionning selon ce qui est désiré.
Globalement retenez que vous pourrez très facilement intégrer ces plateformes dans votre réseau car ils gardent tous les principes fondateurs de la gamme routing.
Des licences plus simples
D’une manière générale, on commence par dire adieu aux fameux “bandwidth tiers” qui permettaient de choisir pour un matériel entre plusieurs niveaux de débits souhaités.On oublie aussi les licences HSEC. L’achat d’un matériel permet d’exploiter tout son potentiel de forwarding et de crypto, pas besoin de spécifier le débit souhaité.
Maintenant côté licences on va globalement différencier 3 cas concrets:
- Accès routé simple. Ici nul besoin de licence additionnelle, l’achat du matériel vous permettra d’avoir IOS-XE Essentials de manière perpétuelle. Parfait pour un accès opérateur basic.
- Accès routé avancé. Ici il faudra une souscription routing sur 7 ans qui débloquera les fonctions Advantage sur toute cette période.
- Accès SD-WAN. Dans ce cas il vous faudra une souscription Cisco Networking pour bénéficier des fonctions de management et de contrôle en plus du routeur. Vous choisirez alors entre les fonctionnalités Essentials et Advantage ainsi que la durée souhaitée.
Comme toujours un guide complet (ordering guide) vous permet de tout comprendre dans le détail et de choisir ce qui vous correspond le mieux.
Envie d’en savoir plus ?
- Cisco 8000 Secure Routers sur Cisco.com (Accès aux Datasheets)
- Outil d’aide pour sélectionner le bon routeur (Router Selector)
- Pour en savoir plus et poser toutes vos questions, n’hésitez pas à vous inscrire au prochain Community Live Webinar du 30 septembre à 15H CET: Quoi de Neuf côté Cisco Networking?
Authors
