Présentation du SD-WAN
En termes simples, le WAN défini par logiciel (SD-WAN) fait référence à l’application des principes de la mise en réseau définie par logiciel (SDN) au WAN. Dans le SD-WAN, le chemin du trafic applicatif peut être contrôlé dynamiquement et sélectionné en fonction des critères d’accord de niveau de service (SLA) spécifiés. Ainsi, le SD-WAN vous permet d’identifier le meilleur chemin pour le trafic d’une application, puis de l’acheminer sur ce chemin.
Selon Gartner, le SD-WAN présente les caractéristiques suivantes :
Prise en charge simultanée de plusieurs types de connexion WAN (MPLS, Internet, LTE, etc.).
Possibilité de sélectionner le chemin de trafic de manière dynamique, ce qui permet de partager la charge du trafic entre les connexions WAN.
Possibilité de simplifier la gestion et la surveillance des WAN.
Prise en charge des VPN et d’autres services tiers, tels que les passerelles et les pare-feu.
CSO prend en charge les types de services SD-WAN suivants pour un site :
SD-WAN sécurisé essentiel : fournit les services SD-WAN de base. Ce service est idéal pour les petites entreprises qui recherchent une gestion simplifiée de leur réseau et des services de sécurité NGFW complets sur les sites distants. Le service SD-WAN Essentials permet au trafic Internet de se détacher localement et évite ainsi le besoin de backhauler le trafic Web sur des liaisons VPN ou MPLS coûteuses. Ce service prend en charge des fonctionnalités telles que les stratégies de pare-feu basées sur l’intention, la gestion et le contrôle des liaisons WAN, le routage contrôlé par CSO entre les sites connectés via le VPN statique et la communication de site à site via MPLS ou liaisons Internet. Un locataire disposant du niveau de service SD-WAN Essentials peut créer uniquement des sites SD-WAN Essentials.
Note:Vous pouvez mettre à niveau le niveau de service SD-WAN d’un locataire de SD-WAN Essentials vers SD-WAN Advanced en modifiant les informations sur le locataire à partir du portail d’administration CSO, à condition que vous ayez acheté la licence correspondante.
SD-WAN sécurisé avancé : fournit le service SD-WAN complet. Tous les sites du locataire avec le service Secure SD-WAN Advanced sont connectés en maillage complet ou en topologie hub-and-spoke. Le service SD-WAN Advanced inclut les éléments essentiels du SD-WAN.
Note:Les sites SD-WAN de la version 5.4 de CSO ou des versions antérieures sont traités comme des sites SD-WAN avancés. Vous ne pouvez pas rétrograder le niveau de service SD-WAN d’un locataire de SD-WAN Advanced à SD-WAN Essentials.
Gestion des sites distants sans SD-WAN et avec
La figure 1 affiche une topologie dans laquelle une filiale est gérée sans SD-WAN. Dans ce scénario, le fournisseur de services (SP) gère le réseau et la filiale compatibles qualité de service (QoS), et gère le trafic (y compris les annonces de routage) et le VPN. Sur la figure 1, la zone délimitée par les rectangles ombrés indique ce que le fournisseur de services gère et maintient.
Le client de la filiale envoie du trafic, qui est dirigé sur l’une des deux liaisons redondantes vers l’un des deux routeurs de périphérie du fournisseur (PE), où le trafic est transféré à l’intérieur de l’instance de routage et de transfert virtuel (VRF). En règle générale, les routeurs PE sont configurés en mode de sauvegarde active (pour la redondance), où le trafic ne transite que par un seul routeur à un moment donné. Le routeur PE crée des files d’attente pour le trafic et les files d’attente sont respectées à l’intérieur du réseau MPLS compatible QoS destiné à ce client de filiale. En outre, la bande passante peut être réservée aux applications qui ont besoin d’une bande passante garantie. En option, le fournisseur de services peut fournir des services à valeur ajoutée supplémentaires, où le trafic est marqué à l’aide de valeurs de code de services différenciés (DSCP) et les valeurs DSCP sont respectées en aval dans le réseau.
La figure 2 affiche la topologie de gestion d’une filiale avec le SD-WAN. Dans ce scénario, le fournisseur de services fournit le routeur PE et le réseau MPLS et peut être le fournisseur du réseau Internet. Cependant, l’entreprise a la possibilité d’ajouter un autre réseau (par exemple, l’Internet haut débit) au lieu d’utiliser le réseau du fournisseur de services, et l’entreprise peut gérer l’équipement sur site client (CPE).
Pour créer un VPN, le trafic doit être tunnelisé à travers les différents réseaux. Ainsi, au lieu d’envoyer du trafic par l’underlay, vous utilisez l’underlay pour construire des tunnels à travers les réseaux jusqu’à l’élément suivant (nœud). Pour sélectionner dynamiquement le chemin de trafic, vous devez disposer d’une orientation du trafic consciente des applications (également appelée app-aware) qui identifie l’application, surveille le tunnel (chemin) sur lequel le trafic se trouve et décide du tunnel sur lequel le trafic doit être envoyé. Si un tunnel se dégrade, le contrôleur SD-WAN peut déplacer le trafic vers un autre tunnel. Dans le scénario SD-WAN, les deux tunnels sont actifs simultanément.
Par conséquent, dans le scénario SD-WAN, vous ne serrez pas le trafic dans les files d’attente; au lieu de cela, vous identifiez le trafic et sélectionnez le tunnel sur lequel l’envoyer. Les services fournis sur l’ensemble du réseau (tels que la réflexion de route) peuvent être déplacés vers le haut comme illustré en figure 2.
Dans la gestion des sites distants avec SD-WAN, vous pouvez avoir des routeurs PE redondants dans la topologie, si nécessaire. (Cette situation n’est pas indiquée sur la figure 2.)
SD-WAN Overlay Tunnels
Dans le SD-WAN, les tunnels overlay (voir figure 3) sont agnostiques, ce qui signifie qu’ils sont construits indépendamment de la technologie de transport sous-jacente (comme MPLS ou Internet) du réseau. Les tunnels sont construits en fonction des adresses IP attribuées aux interfaces WAN, et peuvent être entre une filiale (en étoile) et une autre, ou entre un service en étoile et un hub (siège social).
Dans CSO, vous pouvez construire des tunnels GRE ou DES tunnels GRE avec IPsec pour plus de sécurité. Lorsque CSO identifie l’application, il crée des marquages DSCP internes qui sont écrits sur le tunnel externe afin que les files d’attente de transfert qui pourraient exister dans le réseau externe soient respectées.
Dans CSO, le terme MPLS fait référence à un chemin d’ingénierie QoS et est utilisé pour désigner le réseau. Par conséquent, CSO ne crée pas de trames MPLS sur l’underlay et ne crée que des trames Ethernet.
Architecture SD-WAN de haut niveau
La figure 4 montre un exemple d’architecture SD-WAN de haut niveau. Deux sites distants sont connectés à des passerelles SD-WAN (également appelées équipements spokes ou CPE) et un site central (siège social) connecté à une autre passerelle SD-WAN, qui peut être un équipement hub. En outre, un contrôleur SD-WAN contrôle les passerelles SD-WAN à l’aide d’une interface utilisateur unique, gère les équipements, la création de tunnels, etc.
SD-WAN
La figure 5 montre comment le SD-WAN est appliqué à l’aide de CSO dans une topologie composée d’un site distant et d’un hub. CSO construit un tunnel pour les liaisons WAN passant par le réseau MPLS et un deuxième tunnel pour les liaisons WAN passant par Internet. Lorsque vous configurez le SD-WAN, vous pouvez vous assurer que les données d’application critiques sont envoyées via la liaison MPLS (chemin fiable et sécurisé) et que les données d’application non critiques sont envoyées par la liaison Internet (meilleur effort, chemin non sécurisé).
SD-WAN CSO
Informations complémentaires
Pour plus d’informations sur CSO SD-WAN, visionnez la vidéo Démos contrail SD-WAN : 15 fonctionnalités en 15 minutes .