Communauté Cisco Réseaux WAN De Nouvelle . - Cisco Community PDF Free Download

1y ago

19 Views

1 Downloads

2.56 MB

66 Pages

Report/dmca

Download PDF

Transcription

Communauté CiscoRéseaux WAN de Nouvelle Générationavec Cisco Secure SD-WANHafida BarhounTechnical Solutions Specialist - CCIE R&S #65298 Cisco FranceThomas MatzeuTechnical Solutions Specialist – Virtual Systems Cisco France5 novembre 2020

Devenez un YouTube Star de CiscoVotre expertise peut être reconnue partout dans le monde !On lance un appel à tous les spécialistes pour participer avec nous.Retrouvez votre meilleur truc ou astuce et enregistrez-le en vidéo !Le but est de cumuler le plus grand nombre de vues sur YouTube.Vous devrez nous envoyer votre enregistrement.Les meilleures vidéos seront publiées sur le Canalde YouTube de la Communauté Cisco en français.Automne 2020Suivez le lienhttps://bit.ly/1YT-fr2020 2020 Cisco and/or its affiliates. All rights reserved.3

Community Live jeudi 15 DécembreWireless / Sans fil : Introduction au Cloud Networking Cisco MerakiWebcast en directle jeudi 15 Décembre 2020avec Julien RibyÉvénement publicInsert event bannerSuivez le lienhttps://bit.ly/WEB-FRdec20 2020 Cisco and/or its affiliates. All rights reserved.4

Community Live jeudi 14 JanvierWebex : Tout ce que vous devez savoir sur Webex !Webcast en directle jeudi 14 Janvier 2021avec Thomas FlambeauxÉvénement publicInsert event bannerSuivez le lienhttps://bit.ly/WEB-FRjan21 2020 Cisco and/or its affiliates. All rights reserved.5

Évaluez le contenu de la Communauté CiscoDiscussions, Documents, Blogs et VidéosAidez-nous à identifier les contenus de qualité et à reconnaître l’effort desmembres de la Communauté Cisco en français.Identifiez les expertsApprenez à mieux utiliser la plateformeet exploiter toutes ses ressources. 2020 Cisco and/or its affiliates. All rights reserved.Repérez les solutionsSuivez le lienhttp://bit.ly/PilotVideoFR6

Reconnaissance aux Top ContributeursDevenez le Top Contributeurdu mois d’octobre!La reconnaissance aux Top Contributeurs estconçue pour reconnaître et remercier ceux quiont collaboré avec nous en fournissant descontenus techniques de qualité ainsi que lesparticipants plus actifs qui ont permis à notrecommunauté de devenir un des Top sites pourles passionnés de la technologie de Cisco.Suivez le lienhttp://bit.ly/FRCC-SpotlightAwards 2020 Cisco and/or its affiliates. All rights reserved.7

Participez avec nous et posez des questionsLa présentation comprendra aussi quelques questions du public.Nous vous invitons cordialement à participer activement aux questions quevous pourrez poser pendant cette séance sur le panneau à droite « Q&R ».Résolvez vos doutes et partagez votre opinion 2020 Cisco and/or its affiliates. All rights reserved.12

Connecter les utilisateurs au data center étaitLA prioritéRéseau:CentraliséSécurité:Unique, on-premiseInternetT RAFFICT RAFFICInterne 80%Interne 80%Internet 20%Security stackMPLSSites distantsInternet 20%VPNDCUtilisateurs mobiles

Nos besoins réseau n’ont pas changésConnecter de manière sécurisée les utilisateurs de confiance aux applicationsde confianceInternetBest effortUtilisateurs etObjets connectésCampus et sites distantsApplications etdonnéesWANData centerMais l’IT se retrouve confronté à des perturbations massives en ce qui concerne les utilisateurs,les applicationsC97-743703-00 2020 Cisco and/or its affiliates. All rights reserved.Cisco Partner Confidential et leur mode d’accès16

Perturbation #1:Notre façon de travailler a évoluéInternetBest effortEquipements et objetsconnectésUtilisateurs dans lesagences et le CampusApplications etdonnéesWANUtilisateurs mobilesData centerLes utilisateurs nécessitent un accès sécurisé aux applications de n’importe où, via n’importequel équipement, à n’importe quel momentC97-743703-00 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential17

Perturbation #2:Les applications ne sont plus confinées dans le data centerData center/private cloudEquipements et objetsconnectésUtilisateurs dans lesagences et le CampusCloud edgeUtilisateurs mobilesSaaSWANIaaSAujourd’hui les applications sont hébergées non pas dans un mais dans plusieurs “Cloud“C97-743703-00 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner Confidential18

Conflit entre le WAN d’aujourd’hui et la stratégie dedemainCampusX2-5Data center/cloud privéCloud EdgeSites distantsX100 SaaSLa connectivité Internet devientcritique pour le IaaSMeilleurcheminC97-743703-00 2020 Cisco and/or its affiliates. All rights reserved. Cisco Partner ConfidentialExpérienceutilisateursExposition auxcyber menacesComplexitéaugmentée19

Selon le dernier rapport deGartner Quel % d’entreprisesauront implémentéSD-WAN en 2024? 2020 Cisco and/or its affiliates. All rights reserved.Polling Question - Sondage 1A.30% des entreprisesB.50% des entreprisesC.60% des entreprises20

Qu’est-ce que c’est le SD-WAN?IT intentUn moyen Simple et Sécuriséde router du traffic avec uneQualité égale ou supérieure àcelle du WAN nt-BasedNetworkingActivationInfrastructure physique et virtuelle 2020 Cisco and/or its affiliates. All rights reserved.22

Secure SD-WAN va au-delà du SD-WANCisco Secure SD-WAN, des capacités étenduesBasic SD-WAN*Résumé des fonctionnalitésCircuit LoadBalancingSD-WANde base*Direct InternetAccesspar Equilibragedu volumecircuitCentralizedManagement & AccèsOrchestrationdirect à InternetSécurité misationVoixOptimisationSaaS/IaaSApp AwareDynamic RoutingOuvert &ProgrammableMulti-Tenant/Multi-DomainOptimisation ApplicativeCircuitetCostSavings GestionOrchestrationcentralisées Economie de coût detransportSegmentationA l’échelle del'entrepriseAnalytique &Visibilité*Gartner Critical Capabilities for WAN Edge Infrastructure, December 2018

Une architecture flexible Intent-Based NetworkingvManage vAnalyticsOn-premise Cloud Multi-tenantTout déploiementAutomatisation Aperçu du réseau Machine Learning AIOuvert Programmable A l’échelleTout ServiceSécurité dessites distantsSatelliteTout TransportTout EmplacementSécuritéCloudBranchVoix etExpérience applicativeCollaborationde udRemote Work

Cisco SD-WAN ArchitecturePlan d’orchestrationPlan de GestionvManage Premier point d’authentification Distribue la liste des vSmart/vManage auxrouteurs Facilite le NAT traversantAPIs3rdPartyAutomationvBondPlan de données Physique ou virtuel Zero Touch Provisioning Etablit une fabrique sécurisée Interface unique pour les opérations Jour0, Jour1et Jour2 Multi-tenant ou single-tenant Provisionnement, troubleshooting ou monitoringcentralisé RBAC et APIsvAnalyticsPlan de ContrôlevSmart Controllers Implémente les politiques de données Exporte les statistiques de performances4GMPLS Propage les informations de contrôle entrerouteur Distribue les politiques de données Implémente les politiques de contrôleINETWAN EdgeCloudData CenterCampusBranchCoLo

Evolutivité et efficacité opérationnellePlan de contrôle séparé et protocole Overlay Management Protocol (OMP) uniqueCisco SD-WANCompétiteur SD-WANIKE IPSecOMPOMPVSIKE IPSecIKE IPSecIKE IPSecIKE IPSecIKE IPSecIPSecIPSecMeilleure évolutivité et efficacité Meilleure évolutivité grâce à un plan de contrôle séparé (1 tunnel vs n tunnel).OMP est l’un des protocoles des plus avancés dans le marché du SD-WAN. Il permet d’échangerdes routes mais aussi des clés de chiffrement, des politique de contrôle, de données et d’AAR.

Un impact opérationnel minimalDes mises à jour de politiques uniformes et plus rapide grâce à OMPCisco SD-WANCompétiteurs s politiques sont poussées au contrôleur vSmartpuis appliquées sur ce même équipement(si politique de contrôle) ou sur les routeurs(si politique de données ou d’AAR)par une mise à jour OMPRouteur SD-WAN CiscoVSProtocolepropriétaireRouteur SD-WANDes mises à jour de politiques uniformes et plus rapide Une politique est appliquée de manière simultanée sur tous les routeurs SD-WAN en quelques secondes(1 x Netconf OMP update 10s)Pour la compétition, l’application d’une politique peut prendre plusieurs minutes et peut résulter en unroutage non uniforme ou asymétrique. Ex: Pour 100 sites et temps Netconf 10s, temps pour déployerune politique 100 x. 10s 16min et 40 secondes ! ( temps de rollback)

Tout types de topologieFull-MeshVPN1Hub-and-Spoke Chaque VPN peut avoir sa propre topologieFull-mesh, hub-and-spoke, partial-mesh, point-topoint, etc. Les topologies peuvent être influencées enutilisant les politiques de contrôleEn filtrant des TLOCs ou en modifiant dès l’attributnext-hop des TLOC pour les routes OMPVPN2Partial MeshPoint-to-Point Les applications peuvent bénéficier du cheminle plus court(ex: la voix en topologie full-mesh)VPN3VPN4 Les normes de sécurité/conformité peuventbénéficier de topologies spécifique(ex: trafic PCI utilise la topologie Hub-and-spoke)

Opérations simplifiées et sécurité amélioréeSegmentation du bout-en-boutCisco SD-WANCompétiteur SD-WANIPSec TunnelVPN1IPSecTunnelTunnelIPSecVPNVPN3 2VSIPSec TunnelVPN 3VPN 4 Pas de configuration complexe Pas d’impact sur l’underlay Segmentation de bout-en-bout (jusqu’à 64 VPNs) Réduction de la surface d’attaque Pas de risque de fuite de trafic (traffic leaking) entre VPNVPN 2VPN VPN3 3VPN 4 Micro-segmentation (1 table de routage pourtous les VPNs avec des règles FW) Difficile à gérer et présente des risques de fuitede trafic entre les VPNOpérations simplifiées / Facile à gérer :Sécurité amélioréeVPN1IPSec TunnelRouteurInterface physiqueRouteurInterface physiqueOUIPSec TunnelVPN1IPSec TunnelVPN 2RouteurIPSec Tunnel VDOMs(1 transport par VPN) Difficile à gérer et avec un impactopérationnel sur l’underlayVPN VPN3 3VPN 4

Polling Question - Sondage 2Quels élémentsconstituentl’architectureSD-WAN ? 2020 Cisco and/or its affiliates. All rights reserved.A.B.C.Routeurs / WAN Edge, Spine,Leaf, APICRouteurs / WAN Edge, vBond,vSmart, vManageRouteur Fusion, Edge Node,Control Node, Border Node31

Une solution de Qualitéà l’échelle de l’Entreprise

Gestion du SD-WANUn Dashboard unique Configuration, Monitoring,Troubleshooting Gestion du cycle de vie RBACCisco vManageUn tableau de bord pour la gestion du réseau et de la sécurité

Troubleshooting et Monitoring avancésSpeed testPacket tracer Troubleshooting avancé avecdes requêtes en temps réel surles routeurs Analyse de trafic avecgénération de trafic synthétiquepour tester des politiquesCapture de paquetEnregistrement (logging) Les logs du firewall sontenvoyés à un collecteur externecomme un SIEM (ex: Splunk) Les exports de logs sontenvoyés au format Netflow v9 Les alarmes ou évènementssont enregistrés dès lors qu’ilssurviennent

Analytique SD-WANInformation en temps réel Prévision, planification etscénario hypothétiques Recommandation pour uneexpérience applicativeprévisible BenchmarkingCisco vAnalytics

Zero Touch Provisioning ZTP permet aux équipements de rejoindre l’overlaySD-WAN automatiquement après son démarrage Les serveurs ZTP/PnP sont hébergés comme softwareas a service (SaaS) par Cisco L’équipement nécessite doit pouvoir joindre leserveur DNS et Internet afin de pouvoir joindre leserveur ZTP/PnP et les contrôleurs SD-WAN Les équipements vEdge se connectent au serveur ZTP(ztp.viptela.com) Les équipements XE-SDWAN se connectent auserveur Cisco PnP (devicehelper.cisco.com) 2019 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialContrôleurs SD-WANvBondvManageZTP/PnPServerINET/MPLSvSmart

Cisco SD-WAN est ouvert et ProgrammableEntrepriseContenu de formation et depratiqueServices managésIntégration OSS/BSSMulti-TenantSandboxPartenairesEchange de codeDev CenterEcosystem Exchange

Le multi-domaine chez CiscoSD-AccessCisco DNA dSolutionsSD-WANCisco vManageIntégration APIUtilisateurs etéquipements Identifie et connecte Authentifie et AutoriseACICisco APICIntégration APICloud hybrides Expérience applicative Accès cloud et internetet sécuriséDonnées etapplications Automatise desressources Evité les violation dedonnéesApplications(fournisseurs)

Polling Question - Sondage 2Quels élémentsconstituentl’architectureSD-WAN ? 2020 Cisco and/or its affiliates. All rights reserved.A.B.C.Routeurs / WAN Edge, Spine,Leaf, APICRouteurs / WAN Edge,vBond, vSmart, vManageRouteur Fusion, Edge Node,Control Node, Border Node39

Améliorant l’Expérience Applicative

Reconnaissance et Visibilité ApplicativeDeep Packet InspectionCloudData CenterApp 1App 2App 3,0004GMPLSData CenterWAN Edge RouteurINET Pare-feu ApplicatifAgencesBureau à domicile Priorisation de traficCampusSitesDistants Sélection de transport

Connectivité flexibleDes coûts réduits et des performances applicatives amélioréesDatacenterMPLS3G/4G-LTEColocationSite distantInternet Exploite la sortie Internet locale pourl’accès au cloud publique et à InternetPublic Cloud VPN sécurisé pour l’accès au cloud privé

Amélioration de l’expérience applicativeData CHeaderFECHeader3P4Site distant/CampusOptimisé241MPLS4Connection TCP (Cubic)Path 2321MPLS3421(Primaire)4GMPLSLTEPolitique App Aware RoutingLe chemin de l’App A doit avoir:latence 150ms & taux de perte 2%CapacitéFECHeaderChemin1: 10ms, 0% perteChemin2: 200ms, 3% perteChemin3: 140ms, 1% perte SLA Applicatif Optimisation TCP Correction d’erreur (FEC) Duplication de paquets

Optimisation SaaSOptimisation via multi-cheminSaaSSites distants/CampusData CenterLogicielCorporateUtilisateursDes performanceO365 jusqu’à 40%plus rapideSD-WAN écurité cloudFiabilité et utilisation augmentée du meilleur chemin pour les applications SaaS

SD-WAN étendu vers l’IaaSVPC VPCVPCVNet VNetVNetVPCTransitHubCloud onRamp vers IaaSVPC VPCVPCVNetSD-WANFabricvManageBranchConnexion InternetVers le cloud IaaSVNet VNetVNetVPC Cisco WAN Edges déployésdans un hub de transit qui jouele rôle de routeur virtueld’agrégation Extension de la fabrique SDWAN Processus de déploiementautomatisé avec le exion vers le cloudIaaS via une co-location

Synthèse desfonctionnalités de sécurité

PRESENTATION NOTE: display in slide show mode to hide this message and animate slideVIEWING AS PDF?. refer to backup slidesExposition à de nouveaux challenges de ISSENTPOINT D’ENTREEET SORTIED'ATTAQUELESLACUNESDEAPOLITIQUED'ACCESLA SURFACESaaSMenaces externesIaaSInternet Exposition au malware & phishing due àl’accès à Internet et au cloud en directPas de sécuritéLogicielCorporateSD-WAN FabricBASIC/NO SECURITYData Center Violation de donnéesSite distantUtilisateurs(invités)Equipements/IOT Reponsabilité de l’accès invitéMenaces internes Accès incertain (utilisateur interne malvaillant) Conformité (PCI, HIPPA, GDPR) Mouvement lateral, propagation de la violationWANEdgeSécurité existanteEn DMZ

Changement motivé par le cloudNouvelle sécuritémulti-fonction dans lecloudInternet /SaaS / IaaSPile de sécuritétraditionnelle On-PremSécurité DNSPasserelle WebPare-feuSécurité DNSCASBPasserelle WebPare-feuSD-WANCASBDirect Internet AccessMPLSSiègeSite distant

Cisco couvre les trois composants principales deSASERéseauSécuritéIdentitéCisco SD-WANCisco UmbrellaZTNAOptimisation Applicative,réseau cloud, sécurité intégrée,solution d’analytique, visibilitéSécurité DNS cloud, SWG,pare-feu, CASBDuo, SD-Access(workforce, workplace)Accès distantAnyConnect, SD-WANHighly available global cloud infrastructure API-based, programmable architecture SecureX Threat intelligence powered by Cisco Talos 2020 Cisco and/or its affiliates. All rights reserved. Cisco Confidential49

Cisco SD-WAN SécuritéUniforme on-prem ou sur le cloudEnterprise FirewallApplication des couche 3 à 7 classifiéeSécuritéCiscoMoteur IPS le plus déployé au mondeURL-FilteringScore de réputation Web utilisant de 82 catégoriesAdv. Malware ProtectionAvec réputation de fichier et Sandboxing (TG)SSL ProxyDétecte les menaces dans du trafic Intrusion Protection SystemSecure Internet GatewaySécurité DNS/FW Cloud avec Cisco UmbrellaSécurité cloud avec une solution tierceVérification de l'état de la couche 7 avec Zscaler

Secure Internet GatewayPasserelle WebsécuriséeSécurité auniveau DNSPare-feu cloudCloud access securitybroker (CASB)CiscoUmbrellaS D-W ANO N/ O F F NETWO RK DE VICE SInteractivethreat intel

Talos, le meilleur service de renseignement pour lameilleure protection contre les cyber-menaces250 100 TBDe chercheurs à pleintempsDe données reçues par jourMILLIONS1.5 MILLIOND’agents de télémétrieD’échantillons de malware par jour600 BILLIOND’emails par jour16 BILLIONDe requêtes Web par jour424 7 365OperationsScan globalData Center globaux30 ans à construirele réseau mondialPlus de 100PartenairesLe plus grand réseau de détection de menaces dans le monde

Portfolio SD-WANSite DistantAgrégationCloudCloud EdgeSD-WAN ServicesCatalyst 8300Catalyst 8500Catalyst 8000VASR 1000CSR 1000V(IOS XE)ISR 1000ISR 4000SD-WAN(Viptela OS)ISR 1100-4G/6G/LTEVirtualisation 2020 Cisco and/or its affiliates. All rights reserved. Cisco ConfidentialvEdge 20002000vEdgeENCS 5000vEdge 5000vEdge CloudCSP 5000

Modèle de licence Cisco DNA SD-WANPackagingCisco DNA EssentialsCisco DNA AdvantageCisco DNA PremierGestion & Sécurité simplifiées pour lesclients soucieux du prixSD-WAN avancé avec des fonctionnalités desécurité enrichies et appréciées pour agencesSécurité SD-WAN avancée pour éliminer lesmenaces les plus importantes pour votre businessPare-feu alimenté par Talos, IntrusionPrevention System et MonitoringDNS par Cisco UmbrellaCisco AMP avec proxy SSLURL Filtering basiqueSLA basé sur l’applicationOptimisation WAN et chemin basiqueConsole de gestion unique etcentralisée dans le cloud ou on-premCloud OnRamp pour IaaS, SaaS, etColo AppQoE & WAAS RTUEquipement de bordure intégré,orchestration pour le campus, le DCet les sites distantsForward Error Correction (FEC)Duplication de paquetsPasserelle Voix/UC intégréesTopologie flexible & routage dynamique(hub/spoke, partial/full mesh)vAnalyticsPlus de limitation à 50 licences#VPN (2 services 1management)Cisco DNA EssentialsCis co Umbrella SIG Es sentials (Full URL Filtering Contrôle applicatifgranulair Contrôle de fichier AMP Threatgrid Pare-feu Cloud L3 – L4 Protection Utilisateur Roaming avecAnyConnect)Cisco DNA AdvantageCisco DNA Essentials

DNA EA : SD-WANQuoiAvantagesPromos4 niveaux de tarification forfaitairesimplesFlexibilité de la consommation debande passante dans un tiers surla durée EATrue forward, Not To Exceed,Co-termination6 mois ‘Ramp’{6 months gratuity dans l’EA}Cross-domain EA* Prix ‘Ramp’ sont applicablesuniquement aux équipementsBrownfield/Existants1 sku/prix simple par tierB andwidth TiersT ier 0DN A AdvantageDN A Premier0 t o 15 M bpsT ier 116 to 100MT ier 2101M up to 1GT ier 31.001G up to 10GCloud or On-Premise

Cisco Community – Demandez-moi Avez-vous encore des questions sur Cisco Secure SD-WAN?Foire aux QuestionsJusqu’au 20 Novembreavec Hafida BarhounÉvénement publicInsert event bannerSuivez le lienhttps://bit.ly/AMA-nov20 2020 Cisco and/or its affiliates. All rights reserved.62

La communauté est disponible dans d’autres languesSi vous parlez anglais, espagnol, portugais, russe, chinois ou japonais, vous pouvez participer aussidans les autres communautés Cisco.Cisco CommunityAnglaisСообщество CiscoRusseComunidad de CiscoEspagnolComunidade da CiscoPortugais 2020 Cisco and/or its affiliates. All rights reserved.シスコ Chinois63

Nous vous invitons à nous suivre dans les réseauxsociaux et à partager nos prochains événementsCisco Community Facebook/CiscoSupportCommunity Twitter @cisco support YouTube ciscosupportchannel LinkedIn Cisco Communityhttps://w ww.linkedin.com/show case/3544800/ Instagram ciscosupportcommunityhttps://w ww.instagram.com/ciscosupportcommunity/ 2020 Cisco and/or its affiliates. All rights reserved.64

comme un SIEM (ex: Splunk) Les exports de logs sont envoyés au format Netflow v9 Les alarmes ou évènements sont enregistrés dès lors qu'ils surviennent Troubleshootingavancé avec des requêtes en temps réel sur les routeurs Analyse de trafic avec génération de trafic synthétique pour tester des politiques