Je pense que c’est la question qui revient le plus souvent de tous les clients que je rencontre. Comment avoir une performance optimale vers Office 365? La solution s’appelle Cisco SD-WAN!
Issue de la technologie Viptela, intégrée chez Cisco depuis plus de 18 mois, la solution Cisco SD-WAN intègre toutes les fonctionnalités essentielles attendues sur les WAN des entreprises:
- Management simplifié depuis une interface graphique centrale simplifiée: le vManage
- Management et contrôle pouvant être fournis as-a-Service dans le cloud Cisco ou bien déployés on-prem (avec les mêmes fonctionnalités)
- Interconnexion sécurisée entre les sites SD-WAN
- Flexibilité de la topologie (any-any, hub&spoke, autre…)
- Routage des applications sur les liaisons en fonction de leur performance
- Zero-Touch Provisioning sécurisé
- Segmentation complète (VRF) avec policies différenciées pour chaque segment
- Firewall applicatif, IDS/IPS, URL filtering, Anti-Malware
- Cloud Security via Cisco Umbrella
- Possibilité de s’interfacer dans tous les designs (même complexes) grâce à une flexibilité de configuration et des fonctions de routage avancées
- Service chaining pour intégrer d’autres services tierces si nécessaire (firewall, cloud security…)
- Intégration native dans les plateformes IaaS comme AWS et Azure
- Appliances WAN Edge physiques avec ASIC optimisées pour garantir des performances à très haut débit, mais aussi des appliances virtuelles pour un déploiement flexible sur Universal CPE
Et bien sûr l’objet de cet article, l’optimisation de l’accès à des plateformes SaaS, dont Office 365 qui est dans tous les esprits, grâce à la fonctionnalité Cloud onRamp for SaaS.
Cloud onRamp for SaaS
La fonctionnalité Cisco SD-WAN pour garantir l’accès à ces services dans le cloud s’appelle “Cloud onRamp for SaaS”. Il est possible de s’adapter à tous les cas de figure rencontrés :
- Sorties Internet locales sur le site
- Sorties Internet régionales sur un ou plusieurs POP ou datacenters
- Scénario mixte permettant d’utiliser à chaque instant la meilleure sortie internet (locale ou régionale) pour garantir la meilleure performance
Le principe est simple : l’administrateur définit simplement depuis le vManage les sites et les applications à optimiser, Cisco SD-WAN s’occupe de tout. Les WAN Edges des sites sélectionnés mesurent les performances d’accès à ces applications et le meilleur lien local est choisi. L’interface est ultra-simplifiée et permet d’avoir des règles différenciées par VRF (VPN dans la terminologie Cisco SD-WAN).
Il arrive parfois que les liaisons Internet locales n’offrent pas la performance escomptée. Aussi l’administrateur peut définir des “gateways” de rebond, la plupart du temps positionnées sur des datacenters ou POP régionaux. Les gateways vont alors elles aussi mesurer les performances applicatives vers les services cloud définis. Un WAN Edge sur un site distant va alors comparer les performances entre son accès Internet local et un accès au travers d’une gateway régionale. Cela permettra à tout moment de garantir le meilleur accès au service Cloud, la route la plus directe n’étant pas toujours celle à prioritiser.
Chez certains clients, aucune sortie locale n’est autorisée ou possible, soit parce qu’il n’y en a pas (uniquement un ou plusieurs accès MPLS) ou bien parce que les règles en terme de sécurité ne l’autorisent pas. Même dans ce cas, Cloud onRamp for SaaS reste utile puisqu’on va pouvoir s’assurer d’utiliser la meilleure “gateway” pour atteindre les services cloud désirés.
Comment est calculée la performance vers le cloud ?
Les mesures de performance sont faites grâce à un probing web des services cloud sélectionnés. Chaque WAN Edge fait des campagnes de mesure en continu sur les différents accès Internet. Cela permet de déterminer la latence de chaque service cloud ainsi qu’un taux de pertes de paquet constaté. Les résultats obtenus sont comparés aux résultats théoriques souhaitable pour l’application en question et un score vQoE (Quality of Experience) est calculé. Un score de 10 est la note maximale (0 étant évidemment la note minimale). L’accès avec la meilleure note est bien évidemment choisi. Il peut évidemment arriver que les accès choisis par plusieurs applications cloud diffèrent: chaque mesure étant spécifique à l’application que l’on va vouloir optimiser. En plus d’assurer un routage optimal, Cloud onRamp for SaaS va donc aussi fournir des dashboards précis de qualité pour chaque application cloud.
Le dashboard suivant montre les mesures globales agrégées pour les divers applications sélectionnées, avec le détail par site.
Le graph ci-dessous montre le détail dans le temps pour un site donné.
Dans le cas où des sites “gateways” sont définis, un calcul additionnel est fait pour avoir un indice vQoE de bout en bout qui tiendra compte:
- De la performance entre le site gateway et le service cloud (probing http décrit précédemment)
- De la performance entre le site distant et le site gateway (qualité du tunnel IPsec mesurée par probing BFD)
Et si une plateforme Cloud Web Security est présente ?
Les solutions de sécurité dans le cloud se sont développées ces dernières années. Des tunnels IPsec sont alors montés depuis les WAN Edge des sites distants vers les proxy web dans le cloud où le trafic web est analysé. Comment optimiser l’accès aux services cloud dans ce cas?
En fait, Cloud onRamp for SaaS continue simplement de fonctionner de la même façon. Cependant au lieu de faire une mesure de performance directement sur l’accès Internet, la mesure sera effectuée dans les interfaces Tunnel vers ces dispositifs de sécurité. Ainsi la performance calculée tiendra compte du passage par le proxy web. Peu importe finalement le temps d’accès au proxy web, l’important est d’assurer l’accès optimal de bout en bout entre le WAN Edge et le service cloud désiré.
Pour finir…
Derrière cette fonctionnalité simple d’utilisation par l’utilisateur se cache énormément d’ingénierie. Le DNS par exemple a une importance capitale afin d’assurer une reconnaissance de chaque application dès le premier paquet. Il ne s’agirait pas qu’une connexion soit établie sur un accès Internet et soit re-routée à la volée sur un autre! Cela casserait évidemment les sessions TCP du fait du NAT et/ou des firewalls configurés. Des mécanismes sont naturellement automatiquement mis en oeuvre pour éviter de tels catastrophes… Cela est détaillé dans les références ci-après.
Toutes ces innovations permettent une amélioration considérable de l’accès aux services cloud. Certaines études ont montré une moyenne de 40% d’amélioration de la performance pour Office 365… Vous avez des doutes? Alors testez! 🙂
Pour en savoir plus
- CVD (Cisco Validated Design) Cloud onRamp for SaaS
- Présentation CiscoLive BRKCRS-2113
- Documentation Cisco SD-WAN Cloud onRamp for Saas