Le 1er Aout 2017, Cisco faisait l’acquisition de Viptela, une start-up qui proposait une solution SDWAN innovante. Cisco peut ainsi proposer d’une part une offre Meraki extrêmement simple basée sur le cloud, et d’autre part une solution SDWAN plus complète s’appuyant sur la solution de Viptela.
Si cette solution peut sembler complexe en premier abord de part son nombre de composants importants, chacun de ceux-ci permet d’apporter de la sécurité et de la flexibilité dans l’implémentation et pour les évolutions futures. Il est possible de déployer la solution sur une infrastructure physique, virtuelle ou cloud ou encore de mixer ces infrastructures et de faire évoluer l’ensemble sans problèmes.
Les quatre composants principaux qui composent la solution :
- vManage : à travers une interface web permet la configuration, la maintenance et la surveillance de l’ensemble des équipements et des liens du SDWAN.
- Contrôleur(s) vSmart : il(s) établisse(nt) une connexion sécurisée à l’ensemble des routeurs vEdge pour distribuer les routes et les politiques de sécurité grâce au protocole OMP (Overlay Management Protocol) agissant comme un « route reflector ». Il orchestre également la sécurisation des échanges entre les routeurs vEdge en distribuant les clés cryptographiques. Ce qui permet une solution aisément extensible sans IKE.
- Orchestrateur vBond : il réalise l’authentification initiale des routeurs vEdge, et se charge d’orchestrer la connectivité entre les routeurs vEdge et les contrôleurs vSmart. C’est aussi lui qui permet de faciliter la communication avec les équipements dont l’adressage est masqué par du NAT.
- Les routeurs vEdge : physique ou logique, ces équipements permettent la connexion sécurisée entre les différents sites à travers d’un ou plusieurs liens, quel que soit le type de transport (MPLS, internet, 4G/LTE, …). Il est responsable de la répartition du trafic, de la sécurité, du chiffrement, de la qualité de service (QoS), du routage et plus encore…
Autre élément important de la solution proposée par Cisco : le protocole OMP (Overlay Management Protocol)
Ce protocole est similaire à BGP, il permet la gestion de la connectivité du SDWAN. Utilisé entre les contrôleurs vSmart et les routeurs vEdge, il permet la diffusion des informations du « control plane » tel que les routes des différentes interconnexions et des voisins, des clés de chiffrement, des politiques.
Ces échanges se font à travers de connexions sécurisés DTLS ou TLS. Le contrôleur vSmart qui se comporte comme un « route reflector » récupère l’ensemble des routes des vEdge qu’il analyse et sur lesquelles il applique les politiques avant des les diffuser aux vEdge concernés. Si aucune politique spécifique n’est définie, la diffusion est réalisée de façon à créer un réseau full-mesh où l’ensemble des équipements de l’ensemble des sites peuvent se connecter les uns aux autres.
Le protocole OMP diffuse des informations différentes :
- Les routes pour le transport et les services
- Les clés de chiffrements
- Les informations nécessaires aux services (politiques à appliquer, performances, …)
Sur chaque routeur vEdge, chaque VPN est cloisonné. Chacun dispose d’une interface ou sous-interface dédiée (dans le cas d’une interface trunkée).
Au sein d’un même tunnel IPSEC entre deux routeurs vEdge, chaque VPN est ainsi cloisonné.
C’est ainsi qu’il est possible de créer plusieurs VPN de différents types en fonction des besoins des services clients sans qu’il ne soit nécessaire de modifier les réseaux de transport :