le 08-03-2021 01:33 AM - dernière modification le 08-03-2021 01:38 PM par Jimena Saez
Cisco Software-Defined Wide Area Network (SD-WAN) vous fournit une infrastructure réseau hautement évolutive, résiliente et sécurisée. Cette solution offre des fonctionnalités de sécurité avancées, permet l'automatisation, la gestion centralisée et apporte de la visibilité. Cisco SD-WAN vous permet de contrôler votre réseau via un tableau de bord unique, de réduire les coûts d'exploitation et de garantir la meilleure expérience possible à vos utilisateurs aussi bien pour les applications locales que sur les applications hébergées dans le Cloud.
Ils couvriront tous les sujets, de la conception d'une solution basique, en passant par le choix des licences, des plateformes, jusqu'aux meilleures pratiques de conception et de déploiement. Le vManage vous permet de configurer des équipements, des templates, des politiques de sécurité, de contrôle et bien plus encore ... Et si, pour une raison quelconque, le vManage tombait en panne ? Nous vous aiderons à comprendre et maîtriser la gestion des politiques de sécurité, les outils d'aide à la résolution d'incidents mais aussi comment gérer les sauvegardes en utilisant par exemple la programmabilité.
Nos experts
Thomas Matzeu est diplômé de l'Université d'Evry. Il a débuté en tant qu'Ingénieur de Déploiement en France, spécialisé dans le routage, la commutation et la sécurité. Thomas a rejoint Cisco en septembre 2018 en tant qu'ingénieur avant-vente au sein de l'équipe Global Virtual Engineering et se concentre principalement sur les technologies de Enterprise Networking telles que SD-Access et SD-WAN.
Posez ICI vos questions à nos experts du 8 au 19 mars 2021
(Cliquez sur le bouton de "Répondre" pour poser vos questions)
** Les compliments encouragent la participation de tous nos membres et experts **
Complimentez leur réponses à vos questions pour les remercier !
le 08-03-2021 11:52 AM
Bonjour,
J'aimerais connaître les différences (avantages et inconvénients) des images virtuelles pour SDWAN: vEdgeCloud, CSR1000V et Cat8000v. Quelles sont les meilleures pratiques pour ces types de déploiements, de performances et de disponibilité chez les fournisseurs de services cloud "Cloud Services Providers" (AWS, AZR, GCP).
Merci beaucoup
Andres Castagna
* Voici la traduction d'un message créé à l'origine par Andres Castagna en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
08-03-2021 12:15 PM - modifié 08-03-2021 12:29 PM
Bonjour Andres,
Le vEdge Cloud se base sur Viptela OS, tandis que les CSR1000v et Catalyst 8000v exécutent un code IOS-XE. Globalement, le Catalyst 8000v est une évolution du CSR1000v et à partir de la version 17.4, seul le Catalyst 8000v sera disponible.
Comment choisir entre les deux plateformes ? Si votre architecture existante se compose de vEdge, le vEdge Cloud est probablement la meilleure option. Si cela concerne un nouveau projet, le Catalyst 8000v pourrait offrir d'avantage de services.
Le Catalyst 8000v est disponible sur AWS, Azure et Google Cloud Platform.
Le vEdge Cloud se trouve sur les "marketplace" Azure et AWS.
Ci-dessous le lien vers les guides de configuration du Catalyst 8000v où vous pouvez voir quelques exemples de déploiement : https://www.cisco.com/c/en/us/support/routers/catalyst-8000v-edge-software/products-installation-and-configuration-guides-list.html
le 08-03-2021 12:05 PM
Salut,
Je comprends que l'interface utilisateur du "Controller UI" peut être utilisée immédiatement. Quelles seraient les prochaines étapes pour une configuration plus détaillée?
Jackson
* Voici la traduction d'un message créé à l'origine par Jackson Braddock en anglais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 08-03-2021 02:59 PM
Bonjour Jackson, comment vas-tu?
Tout d'abord, gardez à l'esprit quels sont les objectifs commerciaux de cette solution, quelles sont les raisons pour lesquelles vous la déployez, ce que vous essayez d'accomplir.
Deuxièmement, prenez votre temps pour la Planification avant de plonger dans la configuration. Planifiez à l'avance vos adresses System IPs, créez un schéma Site ID structuré, définissez les couleurs TLOC que vous allez utiliser, concevez votre politique de sécurité concernant la segmentation et les topologies VPN, etc. De cette façon, vous afficherez la plupart des détails impliqués dans la configuration et cela vous fera gagner du temps lors de la création de vos Configuration Templates.
Une fois la planification terminée, il est temps de configurer le plan de contrôle. À ce stade, vous allez configurer la connectivité de base et déployer des certificats sur les contrôleurs vManage, vBond et vSmart. Une fois que votre plan de contrôle est opérationnel, avec les connexions de contrôle établies, vous êtes prêt à commencer à créer vos Configuration Templates et à provisionner vos WAN Edges.
J'espère que cela vous aidera et, s'il vous plaît, contactez-nous si vous avez d'autres questions.
Salutations. G.
le 08-03-2021 12:08 PM
Salut l'équipe, merci pour l'événement.
J'ai une question, comment un plan de sécurité est-il déterminé?
Att,
* Voici la traduction d'un message créé à l'origine par Adolfo Soares en portugais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 09-03-2021 07:59 AM
Bonjour Adolfo,
Tout d'abord, le plan de contrôle utilise des certificats avec des clés RSA de 2048 bits pour authentifier les routeurs distants sur le réseau.
Le plan de contrôle est chiffré par DTLS ou TLS. Ce qui signifie que tous les routeurs distants établiront des connexions sécurisées avec les éléments qui composent l'orchestration.
Nous conservons l'intégrité du plan de contrôle en utilisant la combinaison de deux éléments de sécurité : les « AES-GCM message digests », ainsi que les clés publiques et privées.
Notre plan de contrôle étant désormais sécurisé et fiable, nous construisons des tunnels IPsec pour permettre le transport des données (plan de données).
C'est une réponse simplifiée, cependant je vous invite à consulter la documentation suivante dans laquelle vous trouverez tous les détails sur la sécurité à l'intérieur d'une Fabric SD-WAN: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/security/vedge-20-x/security-book/security-overview.html
le 09-03-2021 05:00 PM
Bonjour l'équipe,
Désolé de dire que je ne suis pas tout à fait familier avec le SD-WAN, donc mes questions peuvent être très basiques. Merci pour votre expertise.
1. Viptela et les ISR et les ASR series de Cisco peuvent-elles coexister dans un réseau SD-WAN?
2. L'équipement Viptela semble obsolète de nos jours. Quels sont les avantages de la mise à niveau d'ISR, ASR et d'autres équipements pour le SD-WAN mirroring, par rapport à Viptela?
3. vManage, vBond, vSmart, vEdge, quels sont leurs principaux rôles dans le réseau SD-WAN, et combien d'entre eux peuvent coexister dans le réseau SD-WAN au moins et au plus?
4. vEdge propose à la fois des produits Cloud et hardware, tandis que vManage / vBond / vSmart ont uniquement des produits dans le Cloud, n'est-ce pas? Doivent-ils être installés dans un environnement virtuel?
5. vEdge pourrait-il être mis en ligne sans intervention manuelle? Cela peut être zéro contact? Quel est le processus détaillé de lancement de vEdge?
6. Quel est le cadre stratégique du SD-WAN?
7. Quels outils de dépannage sont couramment utilisés dans les réseaux SD-WAN? Lesquels sont les plus couramment utilisés.
8. À quel type de sauvegarde SD-WAN backup se réfère-t-elle et comment devons-nous effectuer la sauvegarde impliquée dans ce scope?
* Voici la traduction d'un message créé à l'origine par 1540488497lcj en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 10-03-2021 03:45 PM
Bonjour,
Merci beaucoup pour votre participation au forum, toutes les questions sont les bienvenues.
1. Viptela et les ISR et les ASR series de Cisco peuvent-elles coexister dans un réseau SD-WAN ?
Absolument, XE et Viptela OS peuvent totalement interopérer dans un seul SD-WAN Fabric.
2. L'équipement Viptela semble obsolète de nos jours. Quels sont les avantages de la mise à niveau d'ISR, ASR et d'autres équipements pour le SD-WAN mirroring, par rapport à Viptela ?
À partir des versions 17.x de XE, nous avons une image universelle qui vous permet d'exécuter en mode autonome (XE traditionnel) ou en mode contrôleur (SDWAN), la seule chose requise est une seule commande. XE offre un ensemble plus riche de fonctionnalités par rapport à Viptela OS, tout en ayant des capacités SD-WAN intégrées que Viptela OS a apportées à Cisco SD-WAN. Pour mentionner quelques fonctionnalités que XE peut offrir et que Viptela OS ne peut pas offrir, vous avez par exemple les URL-F et les IPS, qui sont des fonctions hébergées sur des conteneurs à l'intérieur de l'architecture XE. N'oubliez pas que Cisco a lancé de nouveaux routeurs, Catalyst 8000 Edges, qui peuvent également vous aider.
Consultez plus de détails sur https://www.cisco.com/c/es_mx/solutions/enterprise-networks/sd-wan/index.html#~case-studies
3. vManage, vBond, vSmart, vEdge, quels sont leurs principaux rôles dans le réseau SD-WAN, et combien d'entre eux peuvent coexister dans le réseau SD-WAN au moins et au plus ?
vManage est le seul écran (pane) à partir duquel vous pouvez exploiter, configurer, dépanner et surveiller votre réseau SD-WAN. vBond agit en tant qu'orchestrateur et exploite les systèmes fiables de Cisco et agit en tant que serveur STUN pour gérer l'adressage privé / public des éléments de la structure (fabric). vSmart est le cerveau de l'opération et s'occupe des clés de chiffrement et de toute l'intelligence - c'est-à-dire les informations de routage - la propagation vers le data plane - routeurs -. Dernier point mais non moins important, les WAN Edges exécutent ce que les contrôleurs dictent, tout en conservant leur intelligence et leurs pouvoirs pour développer des tâches telles que la qualité de service QoS, les ACL, etc.
Leur nombre peut varier pour les Edges dans le overlay, cela dépend du client, mais ce nombre est relevant en termes de nombre d'instances vManage, vBond et vSmart que nous aurons dans le overlay. Les déploiements courants ont 1 vManage, 2 vBonds et 2 vSmarts. Mais vous pouvez avoir jusqu'à 6 vBonds, 20 vSmarts et 6 vManages. Afin de revoir les meilleures pratiques, assurez-vous de lire ce document https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/hardware-and- software-installation.html, l'équipe Cisco est toujours heureuse de vous aider à concevoir le design conformément aux meilleures pratiques et en fonction des exigences de vos clients.
4. vEdge propose à la fois des produits Cloud et hardware, tandis que vManage / vBond / vSmart ont uniquement des produits dans le Cloud, n'est-ce pas ? Doivent-ils être installés dans un environnement virtuel ?
C'est correct, vEdge a des appliances physiques et un VNF ou instance virtuelle (cloud vEdge). Il en est de même avec cEdge (XE OS), il y a des CSR1000V et C8KV disponibles sur les marchés des fournisseurs de cloud public lorsque IaaS est requis. Dans le cas où un déploiement sur site est requis, ils peuvent être instanciés d'après les informations des documents suivants:
ESX : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_011.html
KVM : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0101.html
HyperV : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0110.html
5. Cloud vEdge pourrait-il être mis en ligne sans intervention manuelle ? Cela peut être zéro contact ? Quel est le processus détaillé de lancement de vEdge ?
Absolument, Cisco SD-WAN offre un véritable Zero Touch Provisioning (ZTP), vous pouvez obtenir plus des détails ici:
https://blogs.cisco.com/networking/cisco-sd-wan-delivers-true-zero-touch-provisioning-oid-psten019112
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sdwan-wan-edge-onboarding-deploy-guide-2020nov.pdf
Fondamentalement, le service PnP de Cisco maps devices que vous avez sous licence pour votre organisation, une fois que vous connectez vos devices et qu'il obtient une adresse IP via DHCP ainsi que le DNS, il y a un call home (pour récupérer la validation de PnP) et une authentification de vBond, pour être embarqué au SD-WAN Fabric, par la suite le template de configuration est téléchargé. Avoir un template de configuration attribué au numéro de série de votre device est un prérequis obligé.
[..]
le 10-03-2021 04:28 PM
6. Quel est le cadre stratégique du SD-WAN ?
Cisco SD-WAN vous offre le cadre de routage le plus granulaire et personnalisable réalisé avec ses différentes politiques, c'est la partie la plus stratégique de la solution, vous pouvez voir des informations détaillées ici: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/ios-xe-17/policies-book-xe/policy-framework.html
7. Quels outils de dépannage sont couramment utilisés dans les réseaux SD-WAN? Lesquels sont les plus couramment utilisés.
Sous Network>Troubleshooting pour chaque device, vous pouvez vérifier Device Bringup stage, Control Connections, utiliser Ping ou TraceRoute avec des informations spécifiques, ces deux derniers sont couramment utilisés par tous les ingénieurs réseau. Bien que vous ayez besoin de voir comment une application se comporte, vous pouvez utiliser App Route visualization ou simuler des flux. Packet Capture est également un bon outil pour connaître la réalité.
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/vManage_How-Tos/vmanage-howto-book/m-troubleshooting.html
8. À quel type de sauvegarde SD-WAN backup se réfère-t-elle et comment devons-nous effectuer la sauvegarde impliquée dans ce scope ?
En termes de sauvegarde et/ou de restauration de vos device templates, feature templates, politiques ou listes, vous pouvez utiliser des méthodes de programmation puisqu'il s'agit d'une partie native de Cisco SD-WAN. Je vous recommande de consulter https://github.com/CiscoDevNet/sastre et vous pouvez aussi jeter un œil sur https://developer.cisco.com
J'espère que ces réponses vous aideront, salutations.
le 09-03-2021 05:04 PM
Quelles conditions doit satisfaire un serveur pour implémenter SD-WAN?
* Voici la traduction d'un message créé à l'origine par zero.xia en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 10-03-2021 09:10 AM
Salut Yanli,
Cisco SD-WAN inclut tous les composants de gestion (vManage, vBond et vSmart) dans le cloud et prend en charge les plateformes suivantes dans le edge:
Cela dit, si vous utilisez le modèle de déploiement cloud et que vous utilisez Catalyst 8000, ASR ou ISR comme un edge device, il n'y a pas d'exigences de serveur spécifiques car aucun serveur n'est utilisé.
Dans le cas où vous souhaiteriez avoir tous les composants de management on-premise. Les recommandations des serveurs ESX / KVM pour le Cisco vBond Orchestrator server, Cisco vManage server et Cisco vSmart Controller server sont disponibles sur le lien suivant: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/hardware-and-software-installation.html
Les ressources requises pour exécuter chaque composant Cisco vBond Orchestrator, Cisco vSmart Controller et Cisco vManage server sur VMware vSphere ESXi ou le Kernel-based Virtual Machine (KVM) server varient en fonction du nombre de devices que vous déployez dans le overlay network. Faites également attention que tout le OS volume doit se trouver sur un disque SSD (Solid State Drive).
Si votre Edge device n'est pas un routeur Catalyst 8000, ASR ou ISR mais plutôt un ISRv fonctionnant sur des serveurs Cisco UCS et / ou des plateformes Cisco ENCS :
Le serveur doit au moins prendre en charge les éléments suivants :
L'ISRv requiert les éléments suivants du virtualized server hardware:
En ce qui concerne le CSR 1000v, les exigences sont disponibles ici pour:
Salutations,
Danny
le 09-03-2021 05:06 PM
Pourriez-vous partager un exemple de déploiement DIA?
* Voici la traduction d'un message créé à l'origine par 陈少卿 en chinois. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
le 09-03-2021 05:43 PM
Salut Yanli,
DIA améliore l'expérience utilisateur en permettant aux branch users d'accéder aux ressources Internet et aux applications SaaS directement depuis le branch. Traditionnellement, les branchs ont accédé aux applications SaaS via des centres de données centralisés, ce qui se traduit par une latence accrue des applications et une expérience utilisateur imprévisible. À mesure que le SD-WAN a évolué, des network paths supplémentaires sont disponibles pour accéder aux applications SaaS, y compris l'accès direct à Internet Direct Internet Access (DIA) et l'accès via des passerelles régionales ou des sites de colocation. Cependant, les administrateurs réseau peuvent avoir une visibilité limitée ou inexistante sur les performances des applications SaaS à partir de sites distants. Par conséquent, il peut être problématique de définir quel network path devra-t'on choisir pour accéder aux applications SaaS afin d'optimiser l'expérience de l'utilisateur final. En outre, lorsque des modifications du réseau ou une dégradation se produisent, il peut ne pas y avoir de moyen facile pour déplacer les applications affectées vers un chemin alternatif.
Avec Cisco SD-WAN, cette fonction s'appelle Cloud onRamp. Elle vous permet de configurer facilement l'accès aux applications SaaS, soit directement depuis Internet, soit via des gateway locations. Celle-ci sonde, mesure et surveille en permanence les performances de chaque path vers chaque application SaaS et choisit le chemin le plus performant en fonction de la perte et du retard. En cas de dégradation, le trafic SaaS est déplacé de manière dynamique et intelligente vers le chemin optimal mis à jour.
Voici des exemples d'application pouvant tirer parti de cette fonctionnalité:
Cloud onRamp pour SaaS - le chemin le plus performant est choisi
Un deuxième exemple est DIA pour IaaS. IaaS fournit des ressources de réseau, de calcul et de stockage aux utilisateurs finaux à la demande, disponibles dans un cloud public (tel qu'AWS, Azure ou Google Cloud) sur Internet. Traditionnellement, pour qu'un branch atteigne les ressources IaaS, il n'y avait pas d'accès direct aux centres de données du cloud public, car ils nécessitent généralement un accès via un centre de données ou un colocation site. En outre, il y avait une dépendance sur MPLS pour atteindre les ressources IaaS dans les centres de données de cloud privé sans segmentation cohérente ou politique de QoS du branch au cloud public.
Cisco Cloud onRamp pour IaaS est une fonctionnalité qui automatise la connectivité aux charges de travail dans le cloud public à partir du centre de données ou du branch. Il déploie automatiquement des instances de routeur WAN Edge dans le cloud public qui font partie de la superposition SD-WAN et établissent la connectivité du plan de données avec les routeurs situés dans le centre de données ou le branch. Il étend les capacités SD-WAN complètes dans le cloud et étend un policy framework commun à travers le SD-WAN fabric et le cloud. Cisco Cloud onRamp pour IaaS élimine le trafic des sites SD-WAN devant traverser le centre de données, améliorant ainsi les performances des applications hébergées dans le cloud public. Il offre également une haute disponibilité et un path redundancy aux applications hébergées dans le cloud, ce qui est également très rentable.
Salutations,
Danny
le 10-03-2021 04:12 PM
En ce qui concerne la certification SD-WAN, quels nouveaux matériaux ont été publiés ou existe-t-il des tutoriels qui peuvent nous aider pour l'examen?
* Voici la traduction d'un message créé à l'origine par SaTo663696 en japonais. Il a été traduit par la Communauté Cisco pour partager toutes les solutions dans les différentes langues.
Découvrez et enregistrez vos notes préférées. Revenez pour trouver les réponses d'experts, des guides étape par étape, des sujets récents et bien plus encore.
Êtes-vous nouveau ici? Commencez par ces conseils. Comment utiliser la communauté Guide pour les nouveaux membres
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français