SD-Access et DNA Center : Un réseau d’entreprise peut devenir assez complexe.

Il y a généralement un siège, des sites distants, des personnes qui travaillent à distance, et tout ça, est connecté par des connexions WAN.

À l’intérieur de ces bâtiments, il y a de nombreux appareils de la couche physique, comme :

• des routeurs
• des commutateurs
• des pare-feux
• des contrôleurs LAN sans fil
• etc.

Il y a aussi énormément de choses dans la topologie logique, il y a :

• des VLAN
• des VRF
• des protocoles de routage
• des ACL’s
• des règles de pare-feu
• et ainsi de suite.

Et tout ça se configure en principe, manuellement, avec peut-être un petit peu d’automatisation du réseau pour nous faciliter la vie.

En 2007/2008, le SDN (Software Defined Access) est apparu dans l’objectif de tout automatiser, et même, de se débarrasser de la CLI, en la remplaçant par un logiciel unique et centraliser, qui est le Cisco DNA Center (Digital Network Architecture), que nous détaillerons plus tard dans le cours.

Mais aujourd’hui, le SDN, concerne plutôt les data center et se concentre principalement sur les applications.

Comme les réseaux d’entreprise utilisent encore beaucoup d’appareils matériels, l’idée serait de proposer de nouveaux services, comme il y a actuellement dans les datacenters.

Par exemple, si nous avons besoin d’un nouveau firewall, eh bien, ce serait plus simple, qu’en seulement quelques clics, nous puissions obtenir un ASA virtuel, directement dans notre entreprise.

Eh bien, c’est l’une des promesses du SD-Access de Cisco :

C’est-à-dire de donner une automatisation complète de son réseau d’entreprise, à l’identique de ce qui fonctionne déjà dans le cloud.

Le SD-Access (SDA : Software-Defined Access) est une solution innovante qui offre une infrastructure réseau entièrement automatisée et programmable, permettant ainsi de faire de grandes économies.

Le principe repose sur une « fabric » programmable, bâtie sur l’ensemble des équipements du réseau de l’entreprise.

Le schéma nous montre à quoi ressemble une topologie SDN.

On y voit cinq composants :

• La Fabric
• Le contrôleur APIC-EM
• L’ISE (Identity Services Engine)
• Le NDP (Network Data Platform)
• Et le DNA center

DNA Center : Fabric

Dans la « Fabric », c’est là que vous trouverez tous les composants matériels que vous connaissez :

C’est-à-dire :

• les routeurs
• commutateurs
• contrôleurs LAN sans fil
• les points d’accès
• etc.

Cela inclut l’ensemble des périphériques qui tourne sous IOS et IOS XE.

Pour configurer les périphériques de la « Fabric », il faut utiliser des API.

La CLI, reste quand même disponible pour le dépannage.

La « Fabric » contient trois composants clés :

• Le Plan de contrôle : basé sur le protocole LISP (Locator Identity Separator Protocol)
• Le Plan de données (Data) : qui lui est basé sur un Lan Virtuel Extensible. (VXLAN : Virtual Extensibe LAN)
• Et le « Policy » : basé sur Cisco TrustSec (CTS)

Dans le plan de contrôle, le protocole LISP (Locator Identity Separator Protocol) permet de simplifier le routage en supprimant les informations de destination de la table de routage, pour les déplacer vers un système de mappage, très similaire au DNS (Domain Name System).

C’est-à-dire que pour trouver une adresse de destination, le routeur demandera directement au système de mappage du protocole LISP.

Les tables de routage du routeur sont donc plus petites, et demandent moins de charges CPU.

Le protocole LISP permet donc de tunnelliser le trafic de la couche 3, dans le plan de contrôle.

Concernant le plan de données, qui fonctionne à la couche 2, la technologie SD-Access utilise le VXLAN pour prendre en charge l’encapsulation de la couche 2, et permet de créer des stratégies réseau sans les mapper à des adresses IP ou à des sous-réseaux.

DNA Center : ContrÔleur APIC-EM

Le contrôleur APIC-EM est le contrôleur SDN de Cisco pour les réseaux d’entreprise et prend en charge les périphériques qui tournent sous IOS ou IOS XE.

Il permet de contrôler tous les périphériques de la structure, et il est contrôlé par le DNA Center.

DNA Center

Il est le portail, qui permet de piloter l’ensemble de la topologie SD-Access.

C’est une Appliance matérielle qui est généralement localisée sur le WEB.

L’idée est d’offrir une interface centralisée pour toutes les opérations :

• De configuration
• De sécurité
• Et d’analyse

Du réseau d’entreprise, que ce soit dans le LAN, le WLAN, ou le WAN.

La gestion du réseau en devient donc plus simple, ce qui permet d’accélérer les changements et de répondre plus rapidement aux besoins des métiers.

Rappelez-vous de notre exemple avec le programmeur.

L’ajout d’un équipement dans la « fabric » est immédiat et les différentes modifications, que ce soit des règles de sécurité ou des groupes, ne prend plus que quelques minutes, au lieu de plusieurs heures d’études…

Dans ce réseau, nous avons quatre attributs clés :

• Le « Design »
• Le « Policy »
• Provision
• Et Assurance

Alors, si vous voulez voir à quoi ressemble l’interface graphique du DNA Center, vous pouvez vous connecter avec les Sandboxes de Cisco à l’adresse : https://sandboxdnac.cisco.com/

Et utiliser l’identifiant « devnet user » avec le mot de passe « Cisco123 ! ».

On va maintenant détailler les 4 attributs du DNA Center :

Design

Dans l’onglet « Design », c’est là que vous concevez l’ensemble de votre réseau.

Vous pouvez :

• Construire la hiérarchie du réseau
• Gérer les adresses IP
• Paramétrer le réseau
• Et gérer l’ensemble des images IOS ou IOS XE de vos appareils, et tout ça au même endroit.

Policy

Le « policy » c’est la politique que nous configurons sur tout ce qui est lié aux stratégies réseau.

C’est-à-dire qu’il suffit de créer, ses propres stratégies et le « DNA Center » s’occupe de les traduire en configuration sur l’ensemble des périphériques matériels de la topologie.

DNA Center : Provision

Dans l’onglet « provision » , c’est là où l’on ajoute les nouveaux appareils au réseau et qu’on applique les stratégies réseau aux appareils.

Assurance

Et le dernier onglet est l’endroit où l’on peut surveiller l’ensemble du réseau.

Il est possible de voir un aperçu de tous les périphériques réseau, des clients sans fil et des applications.

On peut donc surveiller l’état de santé et avoir une vue d’ensemble de tous les problèmes du réseau.

ISE (Identity Services Engine)

Pour reprendre le schéma du début, sur la partie gauche, on a l’ISE (Identity Services Engine) qui est une solution permettant de gérer les règles de sécurité et de contrôle sur l’intégralité du réseau.

La fabric SDA s’appuie sur ISE pour segmenter le réseau et définir les groupes des utilisateurs et des équipements.

NDP

Et le NDP (Network Data Platform) une plateforme qui permet de traduire les différentes données d’analyses et de les synthétiser pour l’entreprise.

On peut surveiller tout ce que le NDP recueille via le DNA Center.

SD-Access et DNA Center offrent une révolution dans la gestion des réseaux d'entreprise, proposant une automatisation et programmabilité complètes des infrastructures réseau.

La complexité traditionnelle des réseaux, avec leur diversité d'appareils physiques et logiques, est simplifiée grâce à une "fabric" programmable. Cette innovation, apparue avec le Software Defined Network (SDN), remplace l'interaction manuelle par un contrôle centralisé via le Cisco DNA Center, intégrant des API pour la configuration tout en conservant la CLI pour le dépannage. Les principaux composants comme LISP, VXLAN, et Cisco TrustSec offrent une gestion efficace et sécurisée du trafic réseau. Le DNA Center, agissant comme un portail unifié, facilite la configuration, la sécurité, et l'analyse des réseaux LAN, WLAN, et WAN. Avec des fonctionnalités telles que le design, policy, provision, et assurance, les entreprises peuvent désormais répondre rapidement aux besoins métiers, transformant l'ajout d'équipements et la modification de configurations en tâches de quelques minutes.

La solution SD-Access promet ainsi d'apporter au réseau d'entreprise l'agilité et l'économie déjà présentes dans les environnements cloud.