Bonjour Andres,

Le vEdge Cloud se base sur Viptela OS, tandis que les CSR1000v et Catalyst 8000v exécutent un code IOS-XE. Globalement, le Catalyst 8000v est une évolution du CSR1000v et à partir de la version 17.4, seul le Catalyst 8000v sera disponible.

Comment choisir entre les deux plateformes ? Si votre architecture existante se compose de vEdge, le vEdge Cloud est probablement la meilleure option. Si cela concerne un nouveau projet, le Catalyst 8000v pourrait offrir d'avantage de services.

Le Catalyst 8000v est disponible sur AWS, Azure et Google Cloud Platform.
Le vEdge Cloud se trouve sur les "marketplace" Azure et AWS.

Ci-dessous le lien vers les guides de configuration du Catalyst 8000v où vous pouvez voir quelques exemples de déploiement : https://www.cisco.com/c/en/us/support/routers/catalyst-8000v-edge-software/products-installation-and-configuration-guides-list.html

Bonjour Jackson, comment vas-tu?

Tout d'abord, gardez à l'esprit quels sont les objectifs commerciaux de cette solution, quelles sont les raisons pour lesquelles vous la déployez, ce que vous essayez d'accomplir.

Deuxièmement, prenez votre temps pour la Planification avant de plonger dans la configuration. Planifiez à l'avance vos adresses System IPs, créez un schéma Site ID structuré, définissez les couleurs TLOC que vous allez utiliser, concevez votre politique de sécurité concernant la segmentation et les topologies VPN, etc. De cette façon, vous afficherez la plupart des détails impliqués dans la configuration et cela vous fera gagner du temps lors de la création de vos Configuration Templates.

Une fois la planification terminée, il est temps de configurer le plan de contrôle. À ce stade, vous allez configurer la connectivité de base et déployer des certificats sur les contrôleurs vManage, vBond et vSmart. Une fois que votre plan de contrôle est opérationnel, avec les connexions de contrôle établies, vous êtes prêt à commencer à créer vos Configuration Templates et à provisionner vos WAN Edges.

J'espère que cela vous aidera et, s'il vous plaît, contactez-nous si vous avez d'autres questions.

Salutations. G.

Bonjour Adolfo,

Tout d'abord, le plan de contrôle utilise des certificats avec des clés RSA de 2048 bits pour authentifier les routeurs distants sur le réseau.

Le plan de contrôle est chiffré par DTLS ou TLS. Ce qui signifie que tous les routeurs distants établiront des connexions sécurisées avec les éléments qui composent l'orchestration.

Nous conservons l'intégrité du plan de contrôle en utilisant la combinaison de deux éléments de sécurité : les « AES-GCM message digests », ainsi que les clés publiques et privées.

Notre plan de contrôle étant désormais sécurisé et fiable, nous construisons des tunnels IPsec pour permettre le transport des données (plan de données).

C'est une réponse simplifiée, cependant je vous invite à consulter la documentation suivante dans laquelle vous trouverez tous les détails sur la sécurité à l'intérieur d'une Fabric SD-WAN: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/security/vedge-20-x/security-book/security-overview.html

Bonjour,
Merci beaucoup pour votre participation au forum, toutes les questions sont les bienvenues.

1. Viptela et les ISR et les ASR series de Cisco peuvent-elles coexister dans un réseau SD-WAN ?
Absolument, XE et Viptela OS peuvent totalement interopérer dans un seul SD-WAN Fabric.

2. L'équipement Viptela semble obsolète de nos jours. Quels sont les avantages de la mise à niveau d'ISR, ASR et d'autres équipements pour le SD-WAN mirroring, par rapport à Viptela ?
À partir des versions 17.x de XE, nous avons une image universelle qui vous permet d'exécuter en mode autonome (XE traditionnel) ou en mode contrôleur (SDWAN), la seule chose requise est une seule commande. XE offre un ensemble plus riche de fonctionnalités par rapport à Viptela OS, tout en ayant des capacités SD-WAN intégrées que Viptela OS a apportées à Cisco SD-WAN. Pour mentionner quelques fonctionnalités que XE peut offrir et que Viptela OS ne peut pas offrir, vous avez par exemple les URL-F et les IPS, qui sont des fonctions hébergées sur des conteneurs à l'intérieur de l'architecture XE. N'oubliez pas que Cisco a lancé de nouveaux routeurs, Catalyst 8000 Edges, qui peuvent également vous aider.
Consultez plus de détails sur https://www.cisco.com/c/es_mx/solutions/enterprise-networks/sd-wan/index.html#~case-studies

3. vManage, vBond, vSmart, vEdge, quels sont leurs principaux rôles dans le réseau SD-WAN, et combien d'entre eux peuvent coexister dans le réseau SD-WAN au moins et au plus ?
vManage est le seul écran (pane) à partir duquel vous pouvez exploiter, configurer, dépanner et surveiller votre réseau SD-WAN. vBond agit en tant qu'orchestrateur et exploite les systèmes fiables de Cisco et agit en tant que serveur STUN pour gérer l'adressage privé / public des éléments de la structure (fabric). vSmart est le cerveau de l'opération et s'occupe des clés de chiffrement et de toute l'intelligence - c'est-à-dire les informations de routage - la propagation vers le data plane - routeurs -. Dernier point mais non moins important, les WAN Edges exécutent ce que les contrôleurs dictent, tout en conservant leur intelligence et leurs pouvoirs pour développer des tâches telles que la qualité de service QoS, les ACL, etc.
Leur nombre peut varier pour les Edges dans le overlay, cela dépend du client, mais ce nombre est relevant en termes de nombre d'instances vManage, vBond et vSmart que nous aurons dans le overlay. Les déploiements courants ont 1 vManage, 2 vBonds et 2 vSmarts. Mais vous pouvez avoir jusqu'à 6 vBonds, 20 vSmarts et 6 vManages. Afin de revoir les meilleures pratiques, assurez-vous de lire ce document https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/hardware-and- software-installation.html, l'équipe Cisco est toujours heureuse de vous aider à concevoir le design conformément aux meilleures pratiques et en fonction des exigences de vos clients.

4. vEdge propose à la fois des produits Cloud et hardware, tandis que vManage / vBond / vSmart ont uniquement des produits dans le Cloud, n'est-ce pas ? Doivent-ils être installés dans un environnement virtuel ?
C'est correct, vEdge a des appliances physiques et un VNF ​​ou instance virtuelle (cloud vEdge). Il en est de même avec cEdge (XE OS), il y a des CSR1000V et C8KV disponibles sur les marchés des fournisseurs de cloud public lorsque IaaS est requis. Dans le cas où un déploiement sur site est requis, ils peuvent être instanciés d'après les informations des documents suivants:
ESX : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_011.html
KVM : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0101.html
HyperV : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0110.html

5. Cloud vEdge pourrait-il être mis en ligne sans intervention manuelle ? Cela peut être zéro contact ? Quel est le processus détaillé de lancement de vEdge ?
Absolument, Cisco SD-WAN offre un véritable Zero Touch Provisioning (ZTP), vous pouvez obtenir plus des détails ici:
https://blogs.cisco.com/networking/cisco-sd-wan-delivers-true-zero-touch-provisioning-oid-psten019112
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/SDWAN/sdwan-wan-edge-onboarding-deploy-guide-2020nov.pdf
Fondamentalement, le service PnP de Cisco maps devices que vous avez sous licence pour votre organisation, une fois que vous connectez vos devices et qu'il obtient une adresse IP via DHCP ainsi que le DNS, il y a un call home (pour récupérer la validation de PnP) et une authentification de vBond, pour être embarqué au SD-WAN Fabric, par la suite le template de configuration est téléchargé. Avoir un template de configuration attribué au numéro de série de votre device est un prérequis obligé.
[..]

6. Quel est le cadre stratégique du SD-WAN ?
Cisco SD-WAN vous offre le cadre de routage le plus granulaire et personnalisable réalisé avec ses différentes politiques, c'est la partie la plus stratégique de la solution, vous pouvez voir des informations détaillées ici: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/policies/ios-xe-17/policies-book-xe/policy-framework.html

7. Quels outils de dépannage sont couramment utilisés dans les réseaux SD-WAN? Lesquels sont les plus couramment utilisés.
Sous Network>Troubleshooting pour chaque device, vous pouvez vérifier Device Bringup stage, Control Connections, utiliser Ping ou TraceRoute avec des informations spécifiques, ces deux derniers sont couramment utilisés par tous les ingénieurs réseau. Bien que vous ayez besoin de voir comment une application se comporte, vous pouvez utiliser App Route visualization ou simuler des flux. Packet Capture est également un bon outil pour connaître la réalité.
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/vManage_How-Tos/vmanage-howto-book/m-troubleshooting.html

8. À quel type de sauvegarde SD-WAN backup se réfère-t-elle et comment devons-nous effectuer la sauvegarde impliquée dans ce scope ?
En termes de sauvegarde et/ou de restauration de vos device templates, feature templates, politiques ou listes, vous pouvez utiliser des méthodes de programmation puisqu'il s'agit d'une partie native de Cisco SD-WAN. Je vous recommande de consulter https://github.com/CiscoDevNet/sastre et vous pouvez aussi jeter un œil sur https://developer.cisco.com

J'espère que ces réponses vous aideront, salutations.

Salut Yanli,

Cisco SD-WAN inclut tous les composants de gestion (vManage, vBond et vSmart) dans le cloud et prend en charge les plateformes suivantes dans le edge:

•     Cisco ASR 1000 Series Aggregation Services Routers
•     Cisco 1000 Series ISRs
•     Cisco 4000 Series ISRs
•     Catalyst 8000
•     Cisco 5400 ENCS with the ISRv
•     Cisco UCS with the ISRv
•     CSR 1000v

Cela dit, si vous utilisez le modèle de déploiement cloud et que vous utilisez Catalyst 8000, ASR ou ISR comme un edge device, il n'y a pas d'exigences de serveur spécifiques car aucun serveur n'est utilisé.

Dans le cas où vous souhaiteriez avoir tous les composants de management on-premise. Les recommandations des serveurs ESX / KVM pour le Cisco vBond Orchestrator server, Cisco vManage server et Cisco vSmart Controller server sont disponibles sur le lien suivant: https://www.cisco.com/c/en/us/td/docs/routers/sdwan/configuration/sdwan-xe-gs-book/hardware-and-software-installation.html

Les ressources requises pour exécuter chaque composant Cisco vBond Orchestrator, Cisco vSmart Controller et Cisco vManage server sur VMware vSphere ESXi ou le Kernel-based Virtual Machine (KVM) server varient en fonction du nombre de devices que vous déployez dans le overlay network. Faites également attention que tout le OS volume doit se trouver sur un disque SSD (Solid State Drive).

Si votre Edge device n'est pas un routeur Catalyst 8000, ASR ou ISR mais plutôt un ISRv fonctionnant sur des serveurs Cisco UCS et / ou des plateformes Cisco ENCS :

Le serveur doit au moins prendre en charge les éléments suivants :

• Intel ® Atom ® or Xeon ® CPU at 1.5 GHz or above
• AMD ® Embedded R-Series
• Gigabit Ethernet interfaces

L'ISRv requiert les éléments suivants du virtualized server hardware:

• CPU: 1 to 4 virtual CPUs (selon le débit et l'ensemble des fonctionnalités)
• Memory: 4 GB to 16 GB (selon le débit et l'ensemble des fonctionnalités)
• Disk space: 8 GB
• Network interfaces: deux vNIC ou plus, jusqu'au maximum autorisé par l'hyperviseur (26)

En ce qui concerne le CSR 1000v, les exigences sont disponibles ici pour:

ESX : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_011.html

KVM : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0101.html

HyperV : https://www.cisco.com/c/en/us/td/docs/routers/csr1000/software/configuration/b_CSR1000v_Configuration_Guide/b_CSR1000v_Configuration_Guide_chapter_0110.html

Salutations,
Danny

Salut Yanli,

DIA améliore l'expérience utilisateur en permettant aux branch users d'accéder aux ressources Internet et aux applications SaaS directement depuis le branch. Traditionnellement, les branchs ont accédé aux applications SaaS via des centres de données centralisés, ce qui se traduit par une latence accrue des applications et une expérience utilisateur imprévisible. À mesure que le SD-WAN a évolué, des network paths supplémentaires sont disponibles pour accéder aux applications SaaS, y compris l'accès direct à Internet Direct Internet Access (DIA) et l'accès via des passerelles régionales ou des sites de colocation. Cependant, les administrateurs réseau peuvent avoir une visibilité limitée ou inexistante sur les performances des applications SaaS à partir de sites distants. Par conséquent, il peut être problématique de définir quel network path devra-t'on choisir pour accéder aux applications SaaS afin d'optimiser l'expérience de l'utilisateur final. En outre, lorsque des modifications du réseau ou une dégradation se produisent, il peut ne pas y avoir de moyen facile pour déplacer les applications affectées vers un chemin alternatif.

Avec Cisco SD-WAN, cette fonction s'appelle Cloud onRamp. Elle vous permet de configurer facilement l'accès aux applications SaaS, soit directement depuis Internet, soit via des gateway locations. Celle-ci sonde, mesure et surveille en permanence les performances de chaque path vers chaque application SaaS et choisit le chemin le plus performant en fonction de la perte et du retard. En cas de dégradation, le trafic SaaS est déplacé de manière dynamique et intelligente vers le chemin optimal mis à jour.

Voici des exemples d'application pouvant tirer parti de cette fonctionnalité:

• Office 365
• Salesforce
• Google App
• Box
• Dropbox
• Concur
• Intuit
• AWS
• GoToMeeting
• Oracle
• SugarCRM
• Zendesk
• Zoho CRM

Cloud onRamp pour SaaS - le chemin le plus performant est choisi

Un deuxième exemple est DIA pour IaaS. IaaS fournit des ressources de réseau, de calcul et de stockage aux utilisateurs finaux à la demande, disponibles dans un cloud public (tel qu'AWS, Azure ou Google Cloud) sur Internet. Traditionnellement, pour qu'un branch atteigne les ressources IaaS, il n'y avait pas d'accès direct aux centres de données du cloud public, car ils nécessitent généralement un accès via un centre de données ou un colocation site. En outre, il y avait une dépendance sur MPLS pour atteindre les ressources IaaS dans les centres de données de cloud privé sans segmentation cohérente ou politique de QoS du branch au cloud public.

Cisco Cloud onRamp pour IaaS est une fonctionnalité qui automatise la connectivité aux charges de travail dans le cloud public à partir du centre de données ou du branch. Il déploie automatiquement des instances de routeur WAN Edge dans le cloud public qui font partie de la superposition SD-WAN et établissent la connectivité du plan de données avec les routeurs situés dans le centre de données ou le branch. Il étend les capacités SD-WAN complètes dans le cloud et étend un policy framework commun à travers le SD-WAN fabric et le cloud. Cisco Cloud onRamp pour IaaS élimine le trafic des sites SD-WAN devant traverser le centre de données, améliorant ainsi les performances des applications hébergées dans le cloud public. Il offre également une haute disponibilité et un path redundancy aux applications hébergées dans le cloud, ce qui est également très rentable.

Salutations,

Danny