Cisco SD-WAN (Software-Defined Wide Area Network) Viptela est une solution de mise en réseau évolutive et sécurisée, conçue pour permettre aux entreprises de gérer efficacement leur réseau étendu. SD-WAN repose sur des technologies de virtualisation et de mise en réseau définie par logiciel, offrant ainsi une connectivité optimisée et des performances améliorées pour les applications distribuées.

Nous allons explorer les principaux concepts, les composants essentiels de cette solution et nous aborderons la manière de mettre en œuvre et de gérer cette solution afin de tirer pleinement parti de ses capacités.

1. Fondamentaux de Cisco SD-WAN Viptela SD-WAN

Le SD-WAN est une approche de mise en réseau qui repose sur la virtualisation et la centralisation du contrôle pour gérer efficacement les connexions entre les sites distants d'une entreprise. Contrairement aux réseaux traditionnels basés sur des liaisons dédiées (MPLS) ou des circuits privés, SD-WAN utilise des connexions Internet sécurisées et d'autres types de liens, offrant ainsi une plus grande flexibilité, une meilleure performance pour les applications et des coûts réduits.

Les principaux avantages de SD-WAN incluent :

• Optimisation du trafic : SD-WAN est capable de sélectionner automatiquement le meilleur chemin pour le trafic en fonction des conditions du réseau, assurant ainsi une performance optimale pour les applications.
• Sécurité renforcée : La solution intègre souvent des fonctionnalités de sécurité avancées pour protéger les communications entre les sites distants et prévenir les menaces potentielles.
• Gestion centralisée : L'architecture SD-WAN permet une gestion unifiée du réseau, facilitant ainsi le déploiement, la configuration et la surveillance.
• Réduction des coûts : SD-WAN permet d'utiliser des connexions Internet moins coûteuses en complément ou en remplacement des liaisons MPLS traditionnelles, ce qui peut entraîner des économies significatives pour l'entreprise.

1.2 Introduction à Cisco SD-WAN Viptela

            1.2.1 Historique et évolution de Viptela

Cisco SD-WAN Viptela est issu de l'acquisition de la société Viptela par Cisco en 2017. Avant cette acquisition, Viptela était déjà reconnue pour son approche novatrice en matière de SD-WAN. Cisco a intégré la technologie Viptela dans son portfolio de solutions, ce qui a donné naissance à Cisco SD-WAN Viptela, une offre de SD-WAN robuste et évolutive.

            1.2.2 Composants clés de l'architecture Viptela

Cisco SD-WAN Viptela repose sur une architecture à plusieurs composants, chacun jouant un rôle essentiel dans le fonctionnement global de la solution :

vBond (Viptela Orchestration Plane) : Le vBond est le point d'entrée initial pour les périphériques rejoignant le réseau SD-WAN. Il joue un rôle crucial dans l'authentification, l'autorisation et la découverte des autres composants du réseau. Le vBond permet aux périphériques de s'enregistrer auprès du contrôleur (vSmart) et d'obtenir les informations nécessaires pour établir des tunnels sécurisés.

vSmart (Viptela Control Plane) : Le vSmart est responsable du plan de contrôle du réseau. Il collecte des informations sur l'état du réseau, les politiques de routage et les performances des liaisons. En fonction de ces données, le vSmart prend des décisions de routage intelligentes et distribue les politiques aux autres périphériques du réseau.

vEdge (Viptela Edge Router) : Le vEdge est le périphérique de bordure du réseau SD-WAN. Il peut être déployé sur site, dans un datacenter ou dans le cloud. Le vEdge établit des tunnels IPSec sécurisés avec d'autres vEdges pour acheminer le trafic entre les sites distants. Il assure également des fonctions de routage local et peut optimiser le trafic en fonction des politiques définies par le vSmart. vEdge Datasheet.

vManage (Viptela Management Plane) : vManage est l'interface graphique de gestion centralisée de Cisco SD-WAN Viptela. Il offre une visibilité complète sur le réseau SD-WAN, permettant aux administrateurs de surveiller les performances, de configurer les périphériques, de gérer les politiques et d'effectuer des diagnostics en cas de problèmes. vManage simplifie la gestion et la surveillance du réseau, contribuant ainsi à une administration efficace.

1. vEdge/cEdge

Les termes "vEdge" et "cEdge" font référence à deux types de périphériques différents dans le contexte de Cisco SD-WAN Viptela. Ils jouent des rôles spécifiques dans l'architecture globale de la solution.

2.1 vEdge (Virtual Edge)

Il représente le périphérique de bordure SD-WAN déployé sur site, qu'il soit dans une succursale, un datacenter ou un environnement cloud. Le vEdge est responsable de l'acheminement du trafic entre les différents sites distants et de l'établissement de tunnels sécurisés pour assurer la connectivité avec les autres périphériques vEdge.

Principales caractéristiques du vEdge :

• Il agit en tant que périphérique d'entrée et de sortie pour le trafic du site distant.
• Il assure le chiffrement des données pour protéger les communications.
• Il peut être déployé dans une variété d'environnements, y compris des sites distants, des datacenters et des environnements cloud.
• Il communique avec le vSmart et le vBond pour le contrôle et l'orchestration du réseau.

2.2 cEdge (Cloud Edge)

Le cEdge est un autre composant de Cisco SD-WAN Viptela, spécialement conçu pour les environnements cloud. Le cEdge est déployé dans des environnements cloud publics, tels que AWS, Azure ou Google Cloud Platform, pour étendre la connectivité SD-WAN au cloud. Il fonctionne de manière similaire au vEdge, mais il est optimisé pour les déploiements dans le cloud plutôt que dans des sites distants.

Principales caractéristiques du cEdge :

• Il est spécifiquement conçu pour les déploiements dans des environnements cloud publics.
• Il assure une connectivité optimisée entre le cloud et les sites distants via les tunnels sécurisés.
• Il est capable de s'intégrer étroitement avec les services cloud natifs pour améliorer les performances et l'efficacité.

En résumé, la principale différence entre le vEdge et le cEdge réside dans leur emplacement de déploiement et leur optimisation pour des environnements spécifiques. Le vEdge est principalement destiné aux sites distants, tandis que le cEdge est spécialement conçu pour les déploiements dans des environnements cloud publics. Tous deux jouent des rôles essentiels dans l'architecture SD-WAN de Cisco Viptela pour assurer une connectivité sécurisée et optimisée entre les différents sites d'une entreprise.

1. Architecture de Cisco SD-WAN Viptela

3.1 Connectivité et communication entre les composants

La communication entre les composants de Cisco SD-WAN Viptela est essentielle pour assurer un fonctionnement fluide du réseau. Voici comment ces composants interagissent :

• Lorsqu'un vEdge est déployé dans un site distant, il contacte le vBond pour l'enregistrement initial et l'authentification.
• Une fois authentifié, le vEdge établit un tunnel sécurisé (DTLS) avec le vSmart le plus approprié, en fonction des politiques de contrôle définies par le vBond. Le vSmart lui fournit les politiques de routage et de sécurité nécessaires.
• Le vSmart prend des décisions de routage intelligentes en fonction des informations collectées sur l'état du réseau, les performances des liaisons, etc. Ces décisions sont distribuées aux vEdges pour optimiser le trafic.
• Le vManage collecte des données provenant de tous les périphériques vEdge et vSmart du réseau. Il fournit une interface de gestion conviviale où les administrateurs peuvent configurer les politiques, surveiller les performances et résoudre les problèmes.

Dans l'ensemble, cette architecture « multi composants » permet à Cisco SD-WAN Viptela de s'adapter de manière dynamique aux besoins du réseau et d'offrir une connectivité optimisée pour les applications.

1. Déploiement de Cisco SD-WAN Viptela

Le déploiement de Cisco SD-WAN Viptela est une étape cruciale pour s'assurer que la solution fonctionne de manière optimale et répond aux besoins de l'entreprise. Nous allons aborder les prérequis et les considérations initiales pour le déploiement, ainsi que les étapes à suivre pour installer et configurer la solution.

4.1 Prérequis et considérations initiales

Avant de déployer Cisco SD-WAN Viptela, il est essentiel d'évaluer les besoins du réseau de l'entreprise.

Voici quelques points clés à considérer :

• Les sites distants à connecter et leurs caractéristiques réseau.
• Les performances requises pour les applications critiques.
• Les politiques de sécurité à mettre en œuvre pour protéger le trafic.
• Les capacités matérielles nécessaires pour les périphériques vEdge.

4.2 Installation et configuration de la solution

Une fois les prérequis définis, le déploiement de la solution peut commencer. Les étapes typiques du déploiement incluent :

• L'installation physique des périphériques vEdge dans les sites distants.
• La configuration initiale du vManage pour établir la connexion avec les périphériques vEdge.
• La création de politiques de routage pour définir le comportement du réseau.

Un déploiement réussi garantit que tous les composants de Cisco SD-WAN Viptela fonctionnent ensemble de manière cohérente pour fournir une connectivité optimisée et sécurisée.

1. Gestion et supervision de Cisco SD-WAN Viptela

La gestion et la supervision sont des aspects critiques pour maintenir le réseau SD-WAN en bonne santé et assurer des performances optimales. Nous allons voir l'utilisation de vManage, l'interface graphique de gestion centralisée de Cisco SD-WAN Viptela.

5.1 vManage

Le vManage est un composant essentiel de Cisco SD-WAN Viptela et joue un rôle central dans la gestion et l'orchestration de l'ensemble du réseau SD-WAN.

-- Gestion centralisée : Le vManage offre une gestion centralisée de tous les périphériques vEdge et cEdge déployés dans le réseau SD-WAN. Il permet aux administrateurs de gérer de manière cohérente et unifiée l'ensemble du réseau, facilitant ainsi le déploiement et la configuration des périphériques.

-- Surveillance des performances : Le vManage collecte des données sur les performances du réseau, telles que le trafic, la latence, la gigue, la perte de paquets, etc. Les administrateurs peuvent utiliser ces données pour évaluer les performances du réseau et identifier les goulots d'étranglement potentiels.

-- Configuration et gestion des politiques : Le vManage permet de créer et de gérer des politiques de routage, de sécurité et de QoS (Qualité de service). Les administrateurs peuvent définir des politiques spécifiques pour différents types de trafic et les appliquer de manière sélective aux sites distants.

-- Déploiement automatisé : Le vManage facilite le déploiement automatisé des périphériques vEdge et cEdge dans le réseau. Une fois qu'un périphérique est enregistré et authentifié, le vManage peut automatiquement appliquer les politiques et les configurations nécessaires.

-- Prise en charge de la topologie en étoile : Cisco SD-WAN Viptela prend en charge une topologie en étoile où les périphériques vEdge sont déployés dans des sites distants et se connectent à un vManage centralisé. Cela permet une gestion centralisée et simplifiée de l'ensemble du réseau.

-- Dépannage et diagnostique : Le vManage offre des outils de dépannage et de diagnostic avancés pour identifier et résoudre les problèmes éventuels sur le réseau SD-WAN. Les administrateurs peuvent utiliser ces outils pour effectuer des analyses approfondies en cas de problèmes de performances ou de connectivité.

-- Intégration avec Cisco Umbrella : Le vManage peut être intégré avec le service de sécurité cloud Cisco Umbrella pour une protection supplémentaire contre les menaces Internet, telles que les malwares, les virus et les attaques de phishing.

1. Sécurité dans Cisco SD-WAN Viptela

La sécurité est un aspect essentiel de toute solution de mise en réseau, et Cisco SD-WAN Viptela n'échappe pas à cette règle.

6.1 Mécanismes de sécurité intégrés

Cisco SD-WAN Viptela offre un ensemble de fonctionnalités de sécurité intégrées pour protéger les communications et les données transitant sur le réseau. Les principaux mécanismes de sécurité incluent :

-- Chiffrement des données : Toutes les données transitant entre les périphériques vEdge sont chiffrées à l'aide du protocole IPSec, assurant ainsi la confidentialité des informations.

-- Zoning et segmentation du réseau : Cisco SD-WAN Viptela permet de diviser le réseau en zones logiques pour mieux contrôler le flux de trafic entre les différents segments. La segmentation renforce la sécurité en limitant l'accès aux ressources sensibles.

-- Firewall intégré : Chaque périphérique vEdge est équipé d'un pare-feu intégré, qui permet de filtrer le trafic en fonction des politiques de sécurité définies, renforçant ainsi la protection contre les menaces potentielles.

-- Protection contre les menaces : Cisco SD-WAN Viptela peut s'intégrer avec des services de sécurité tiers, tels que Cisco Umbrella, pour une protection supplémentaire contre les malwares, les virus et les attaques de phishing.

6.2 Meilleures pratiques en matière de sécurité

Outre les fonctionnalités de sécurité intégrées, il est important de suivre certaines meilleures pratiques pour garantir la sécurité de l'infrastructure SD-WAN :

Gestion des identifiants : Veillez à utiliser des identifiants forts et à les protéger de manière appropriée. Utilisez des mécanismes d'authentification forte, tels que l'authentification à deux facteurs, lorsque cela est possible.

Mises à jour régulières : Assurez-vous que tous les périphériques vEdge et vSmart disposent des dernières mises à jour de sécurité et des correctifs. Les mises à jour régulières aident à combler les vulnérabilités connues.

Surveillance continue : Mettez en place une surveillance continue du réseau SD-WAN pour détecter rapidement toute activité suspecte ou non autorisée.

Sauvegardes régulières : Effectuez des sauvegardes régulières de la configuration et des données critiques du réseau SD-WAN pour pouvoir les restaurer en cas de besoin.

En suivant ces meilleures pratiques et en tirant parti des fonctionnalités de sécurité intégrées, vous pouvez renforcer la sécurité de votre réseau SD-WAN et protéger vos données et vos communications contre les menaces potentielles.

Conclusion

Nous avons démystifié Cisco SD-WAN Viptela en couvrant ses concepts fondamentaux, son architecture, son déploiement, sa gestion, sa sécurité, ainsi que les moyens d'optimiser les performances du réseau. Cisco SD-WAN Viptela est une solution puissante et flexible pour les entreprises cherchant à améliorer leur connectivité et leur sécurité tout en réduisant les coûts liés à la mise en réseau étendu.

Sources:

https://gblogs.cisco.com/fr/reseaux/cisco-sd-wan-la-nouvelle-solution-suite-au-rachat-de-viptela/

https://www.cisco.com/c/en_ae/solutions/enterprise-networks/sd-wan/index.html

https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/BRKCRS-2110.pdf