Guide de mise en réseau de filiales prêtes pour

Guide de mise en réseau de filiales prêtes pour le cloud
Guide de mise en réseau de
filiales prêtes pour le cloud
Votre réseau WAN est-il prêt pour le cloud ?
Par Nicholas John Lippis III
Président, Lippis Consulting
Juillet 2012
Guide de mise en réseau de filiales prêtes pour le cloud
Introduction : le réseau étendu des filiales (Wide Area
Network) n'est pas prêt pour le cloud
Au cours de ces dernières années, l'informatique a accéléré
le rythme galopant de ses innovations, ce qui s'est manifesté
dans le cloud computing et l'informatique mobile. Bon
nombre d'indicateurs de ces tendances montrent une
adhésion de plus en plus grande de la part du grand public.
Mais les données les plus parlantes proviennent de la prise
en charge d'approches ou de technologies ; elles ne sont
plus en mesure de prendre en charge à la fois le modèle
informatique existant, le nouveau cloud et le modèle mobile.
La mise en réseau WAN ou, plus précisément, l'approche de
la mise en réseau WAN des filiales, nécessite une refonte
car sa forme actuelle ne prend pas en charge le cloud
computing. Ceci est particulièrement inquiétant car près de
55 % des employés d'une société travaillent dans des filiales
et, en substance, ces derniers sont désormais tenus à l'écart
du cloud computing sécurisé, subissent de mauvaises
performances applicatives sur le cloud et coûtent à leur
société plus d'argent que nécessaire.
Au cours des 10 à 15 dernières années, la mise en réseau
WAN des filiales se faisait principalement avec des liaisons
MPLS (Multiprotocol Label Switching) connectant les filiales
aux data centers. L'intelligence de réseau ou le routage était
situé(e) aux deux extrémités de ce service de transport. Tout
le trafic transitait entre la filiale et le data center dans le sens
nord-sud. Le trafic Internet est acheminé de la filiale au data
center uniquement en vue d'être redirigé vers une connexion
Internet au niveau du data center, consommant la bande
passante MPLS qui pourrait être utilisée pour d'autres
applications et augmentant son coût. Ce modèle ne propose
aucun accès au cloud computing, il n'est pas sensible au
cloud, et, en tant que tel, l'expérience offerte à l'utilisateur
des services du cloud en pâtit. De plus, le modèle actuel des
filiales présente des services de sécurité limités en matière
de cloud. Son modèle opérationnel est obsolète en plus
d'être onéreux. Et comme si cela ne suffisait pas, la situation
va se compliquer davantage à mesure que le cloud obligera
d'autres changements structurels dans les processus
commerciaux et la mise en réseau de filiales.
au client. Fortement touché par la récession des
années 2008 et 2009, enregistrant le nombre de faillites et de
liquidations le plus important, le secteur de la vente au détail
lutte encore aujourd'hui. En vue de réduire les coûts liés aux
filiales et d'améliorer la réactivité face aux clients, les
responsables informatiques n'ont eu de cesse de placer
toujours plus d'applications professionnelles sur le cloud.
En résumé, les différents secteurs se situent à divers stades
dans leur adoption du cloud. Cependant, la plupart de ceux
ayant entrepris ce parcours ont été récompensés par
d'énormes avantages liés à la réduction des coûts et à un
fonctionnement plus flexible et souple.
En fait, dans une étude mandatée par Cisco auprès de
1 300 professionnels de l'informatique répartis dans 13 pays,
les chercheurs ont démontré que quatre fois plus de
responsables informatiques comptent avoir plus de 50 % de
leurs applications sur le cloud d'ici à la fin de l'année 2012.
Dans ce même groupe, 37 % d'entre eux considèrent que
l'infrastructure la plus importante pour le cloud computing est
un WAN prêt pour le cloud, devant un data center virtualisé
ou leur fournisseur de services proposant un accord de
niveau de service (SLA) approprié.
Les décisions en matière de déploiement du cloud computing
se prennent de haut en bas, PDG/Directeur informatique,
et de bas en haut, en fonction du type d'activité. Dans bon
nombre de cas, les objectifs d'un directeur informatique en
matière de cloud sont transmis à la direction informatique
pour leur mise en œuvre, mais en l'état actuel, le WAN n'est
pas prêt pour un déploiement du cloud à grande échelle.
Un écart croissant se creuse entre les attentes de la direction
en termes de cloud et le niveau de préparation du réseau
des filiales au cloud. Cet écart se traduit par un nombre
croissant d'obstacles ou de barrages liés aux défis posés
par un réseau WAN lors de déploiements du cloud.
Les principaux défis liés au WAN se traduisent par des
performances insuffisantes et le besoin d'une meilleure
sécurité et d'une meilleure gestion, ce qui signifie de
meilleurs outils de contrôle et de visibilité, associés à
une flexibilité de déploiement pour réaliser des économies
sur des opérations adaptées.
Le cloud computing a évolué à une vitesse folle et a changé
par là même la manière dont les entreprises mènent leurs
affaires. Dans le secteur des services financiers par
exemple, de petites sociétés de courtage placent
stratégiquement certains serveurs sur le cloud, tout près d'un
centre d'échange en vue de réduire drastiquement les délais
de transaction des actions pour l'octroi d'un numéro de
transaction NICS, où quelques millisecondes gagnées
équivalent à un gain de plusieurs millions de dollars. Cela
permet de promouvoir l'égalité de traitement entre les petites
sociétés de courtage et celles réalisant des transactions à
grande échelle et, dans les faits, offre de meilleurs services
lippisreport.com
1
Guide de mise en réseau de filiales prêtes pour le cloud
Il est surprenant qu'en envisageant leurs déploiements sur le
cloud, autant de responsables informatiques se concentrent
sur le fait de préparer les serveurs et l'infrastructure de
stockage et en oublient leur réseau WAN. Reconcevoir le
WAN des filiales peut permettre de combler l'écart entre les
attentes en termes de cloud et le niveau de préparation du
WAN. En tant que tel, le WAN est sur le point de connaître
un bouleversement structurel en vue d'éliminer les obstacles
aux performances, à la sécurité et à la gestion du cloud.
Quelques exemples illustrant dans quelle mesure l'écart
entre les attentes en termes de cloud et le niveau de
préparation du WAN est une entrave au déploiement du
cloud sont présentés ici. Dans les scénarii de cloud privé,
de nombreuses sociétés ont mis en place des pilotes
d'infrastructure VDI (ou Virtual Desktop Infrastructure) mais
n'ont pas étendu plus largement les déploiements en raison
des défis liés au WAN. Dans les filiales équipées de WAN à
haute latence et à bande passante faible, le VDI pose des
défis uniques dans la mesure où chaque interaction bureau
virtuel-utilisateur, qu'il s'agisse d'une frappe, d'un
déplacement de souris, d'une vidéo, d'une capture d'écran,
etc. doit traverser le WAN chaque fois que l'utilisateur
accède au bureau virtuel. Imaginez qu'une session de VDI
typique nécessite environ 500 kbits/s, une liaison WAN
typique de filiale ne peut alors prendre en charge que
20 DVI. De plus, le temps de réaction simple pour un être
humain se situe entre 160 et 190 millisecondes. Si la latence
est maintenue à ce niveau, il en résultera une excellente
expérience VDI. En outre, la latence du WAN pose un défi
majeur en termes de performance car elle entrave le
déploiement plus large des pilotes VDI et prive les sociétés
de leurs avantages.
Une phase de pilote VDI peut inclure cinq à dix bureaux
virtuels dans quelques filiales, qui réalisent des
performances conformes aux attentes, mais à mesure que
le nombre de bureaux virtuels augmente, l'écart entre les
attentes en termes de cloud et le niveau de préparation du
WAN se fait sentir et il en résulte des goulets d'étranglement
qui mènent à un recalcul de la bande passante MPLS
nécessaire pour garantir l'expérience de l'utilisateur sur
chaque connexion de filiale, et s'assurer que les applications
traditionnelles, telles que Oracle CRM, fonctionnent aussi
bien, voire mieux, que les clients lourds. La plupart des
responsables informatiques abandonnent leurs pilotes VDI
à cette étape car le coût permettant de relever le défi relatif
aux performances du WAN devient prohibitif en cas de
déploiement à grande échelle. Néanmoins, ces responsables
sont convaincus que l'infrastructure VDI offre une meilleure
sécurité et un contrôle centralisé des correctifs, des mises
à jour logicielles et des accès.
lippisreport.com
Dans les scénarii avec un cloud public, le réacheminement
ou la reconnexion constitue le principal défi posé par le
WAN. Comme mentionnée précédemment, la reconnexion
est l'utilisation d'un réseau MPLS connectant les filiales aux
data centers pour le trafic Internet. En substance, le trafic
Internet transite de la filiale au data center uniquement pour
être transmis à l'accès à Internet au sein du data center,
consommant la bande passante MPLS pour les services
de cloud public. Cette approche est très répandue, certaines
études ayant en effet démontré que 90 % des filiales
reconnectent leur trafic Internet en raison d'un manque
de sécurité sur le cloud et de vieilles habitudes difficiles à
changer. La reconnexion consomme évidemment la bande
passante MPLS, un service onéreux et prive les autres
applications de cette bande passante. La reconnexion
n'est pas durable car davantage d'applications sont en
cours de déplacement sur le cloud. Dans quelques temps,
la reconnexion deviendra une cause majeure de mauvaise
expérience utilisateur/application, car elle consomme un
pourcentage plus élevé du trafic transitant sur le réseau
MPLS filiale - data center.
Exigences en termes de réseau des filiales prêtes pour
le cloud
Un réseau de filiale prête pour le cloud nécessite de combler
l'écart entre les attentes en termes de cloud et le niveau de
préparation du WAN, en offrant 1) l'expérience adéquate
sur l'appareil qui se situe à l'extrémité, 2) une connexion au
cloud sécurisée et adaptée et 3) une visibilité et un contrôle
des applications.
Expérience adéquate sur l'appareil qui se situe à
l'extrémité : une filiale prête pour le cloud doit délivrer la
bonne expérience/performance à l'utilisateur sur différents
éléments terminaux, pendant qu'il accède à divers services
du cloud, tels que le cloud public, privé, privé virtuel
ou hybride.
2
Guide de mise en réseau de filiales prêtes pour le cloud
Connexion cloud sécurisée adaptée : une filiale prête pour
le cloud doit offrir un accès sûr, sécurisé et évolutif au cloud,
à savoir la sécurité des appareils de l'utilisateur sur le cloud.
Visibilité et contrôle : une filiale prête pour le cloud doit
fournir une gamme d'outils de visibilité et de contrôle,
proposant une visibilité des applications dans le data
center, la filiale et le ou les cloud(s). Ainsi, les architectes
informatiques peuvent déployer des ressources de manière
efficace et flexible en vue d'optimiser et de simplifier les
opérations. Le résultat souhaité ici est de réduire les charges
d'exploitation et les effectifs nécessaires à la gestion de
l'infrastructure informatique.
Cisco systems est, de loin, le plus important fournisseur
d'équipements pour réseaux de filiales. Alors, nous vous
proposons d'étudier les derniers investissements visant à
traiter les problèmes ci-dessus et à offrir au secteur un
environnement de réseau de filiale intuitif et sensible au
cloud. Nous allons dresser ci-dessous le portrait de la
solution de réseau cloud intelligent de Cisco pour les
réseaux de filiales.
Structure de réseau cloud intelligent de Cisco
Cisco a développé une structure avec des fondements
profonds de ses produits, illustrant son approche d'une
filiale connectée au cloud. La structure comprend quatre
composants, parmi lesquels les plates-formes prêtes pour
le cloud, les services de réseaux prêts pour le cloud, les
connecteurs cloud et enfin la stratégie et la gestion intégrées.
Veuillez noter l'absence de nouvelles plates-formes
matérielles dans la structure Cloud Connect ; tous les
nouveaux composants sont basés sur des logiciels en vue
de permettre un déploiement facile, rapide et sur mesure.
L'infrastructure sous-jacente est prête pour le cloud.
Plates-formes prêtes pour le cloud : les plates-formes
prêtes pour le cloud sont les routeurs à services intégrés
Cisco (ISR G2) pour les filiales, les routeurs à services
lippisreport.com
d'agrégation Cisco (ASR 1000) destinés aux sièges/data
centers et à l'accès à Internet, et les nouveaux routeurs à
services cloud (CSR) pour le cloud. La plate-forme CSR
est une version virtualisée de l'image ASR IOS XE.
Elle supprimera la majeure partie du réacheminement/de
la reconnexion en offrant une connectivité sécurisée
directement au cloud depuis les sites distants.
Services de réseaux prêts pour le cloud : les services
de réseau sont des logiciels qui fonctionnent sur diverses
plates-formes. Cisco a investi dans un ensemble de services
de réseau existants en vue de s'assurer de leur compatibilité
avec le cloud dans 5 domaines clés, parmi lesquels la
Visibilité pour les applications du cloud, l'Optimisation pour
les applications spécifiques au cloud et la Sécurité pour
éliminer la reconnexion. Étant donné qu'un nombre croissant
d'applications collaboratives sont maintenant hébergées
dans le cloud, le service de réseau de Collaboration offre une
meilleure efficacité de l'accès. Pour finir, le service de réseau
Hébergement d'application apporte une efficacité
opérationnelle ainsi qu'une flexibilité de déploiement
semblables à celles du data center vers la filiale ou un site
distant, en offrant une option d'hébergement plus puissante
dans le ISR G2. Le service de réseau d'hébergement
d'application fournit aux architectes informatiques l'option
de conception nécessaire pour héberger les applications
proches des utilisateurs en vue d'améliorer l'expérience/la
performance de l'utilisateur et de réduire les flux de trafic
MPLS/WAN nord-sud.
Connecteurs cloud : les connecteurs cloud sont un nouvel
ensemble de solutions conçues pour résoudre les défis
que rencontrent les services cloud spécifiques. Il existe
actuellement quatre catégories de connecteurs cloud,
à savoir la viabilité de la collaboration, la sécurité Web,
le stockage et les connecteurs développés par d'autres
entreprises. Il ne s'agit que du premier ensemble de
connecteurs cloud de Cisco, car beaucoup d'autres sont
en cours de développement chez Cisco, tout comme les
partenariats depuis que Cisco a développé un écosystème
de connecteurs cloud. Il s'agit d'une partie intégrante de la
stratégie de mise en réseau définie par logiciel (SDN) de
Cisco, où l'intelligence avancée des plates-formes de mise
en réseau de Cisco peut être exploitée par des API ouvertes
appelées OnePK. OnePK permet aux sociétés de concevoir
leurs propres solutions logicielles afin d'améliorer les
services proposés à leurs clients, employés et partenaires.
Un partenaire tiers, Ctera, utilise par exemple l'API OnePK
pour proposer un connecteur de stockage qui fournit un
accès sécurisé à un espace de stockage basé sur le cloud.
Les connecteurs cloud sont des modules logiciels résidant
actuellement sur les plates-formes ISR G2.
Dans sa première annonce au sujet de Cloud Connect,
Cisco a présenté trois connecteurs, un écosystème de
3
Guide de mise en réseau de filiales prêtes pour le cloud
connecteurs, des services de réseau mis à jour ainsi qu'une
nouvelle plate-forme en cours de lancement. En outre,
Cisco vise également à investir sur une inter-plate-forme de
communication/collaboration conçue pour offrir des services
basés sur le cloud qui améliorent l'expérience utilisateur,
augmentent la sécurité sur le cloud et simplifient les
opérations. Comme le réseau est le seul composant
informatique qui traite l'ensemble des flux de trafic, il
constitue aussi la ressource appropriée pour définir et faire
appliquer les stratégies visant à contrôler le trafic des
applications. Par conséquent, toutes les plates-formes
participeront à la collecte des données statistiques sur le
trafic en vue d'obtenir une meilleure visibilité et un contrôle
accru des ressources informatiques. On peut résumer tout ce
qui précède comme suit : le WAN est actuellement repensé
afin de prendre en charge le cloud computing avec le réseau
cloud intelligent de Cisco pour les filiales, comblant ainsi
l'écart entre les attentes en termes de cloud et le niveau
de préparation du WAN.
Mise en œuvre de la solution de réseau cloud intelligent
de Cisco
Parvenir à une expérience utilisateur optimale fait partie des
trois difficultés à dépasser entre les attentes en termes de
cloud et le niveau de préparation du WAN. À titre d'exemple,
de nouveaux outils logiciels disponibles pour améliorer
l'expérience utilisateur dans un environnement de filiale
avec réseau cloud intelligent de Cisco, les services de
réseau et connecteurs présentés ci-après, sont employés
sur les plates-formes ISR G2 et ASR 1000.
1. Visibilité et contrôle des applications ou Service
de réseau AVC sur les plates-formes ISR G2 et
ASR 1000 pour fournir une visibilité et un contrôle
précis des applications
2. AppNav pour les services réseau WAAS, pour une
évolutivité flexible de l'optimisation des applications
3. Solution de collaboration hébergée ou connecteur
HCS pour la viabilité
L'amélioration de l'expérience utilisateur est un processus
généralement composé de deux étapes : 1) découvrir quelles
applications transitent par le réseau et 2) optimiser leurs
performances.
Service de réseau AVC et contrôle et visibilité des
applications
Les technologies sous-jacentes AVC de Cisco sont NBAR2
de Cisco (Reconnaissance des applications réseau), Flexible
NetFlow (ou NetFlow V9) et Performance Routing (ou PfR).
Elles collaborent harmonieusement en vue d'offrir une
visibilité précise sur plus de 1 000 applications.
Les informations de visibilité des applications et les
statistiques de trafic sur le réseau sont regroupées
lippisreport.com
dans l'ISR et l'ASR, puis exportées au gestionnaire Prime
Assurance Manager de Cisco dans un format standardisé
de Flexible NetFlow ou NetFlow V9, ou à un outil tiers, pour
l'établissement de graphique et de rapports. La technologie
AVC offre une planification informatique avec
identification/reconnaissance/conscience des applications,
telles que YouTube, Citrix XenDesktop, vidéoconférence,
etc. qui traversent les filiales pour atteindre le data center.
S'ensuit l'élaboration d'un rapport détaillant toutes les filiales
avec leurs différentes applications en cours d'utilisation,
y compris les principaux correspondants, l'utilisation du
réseau, les besoins en bande passante, etc. NetOps peut
optimiser le réseau et le rendre plus efficace pour certaines
applications verticales prioritaires. Puisque l'AVC est une
capacité de mesure intégrée sur les plates-formes ISR et
ASR 1000, les sociétés informatiques n'ont pas besoin de
déployer de sonde pour collecter des statistiques précises
sur la gestion et les performances des applications.
Service de réseau AppNav pour optimiser les
performances des applications
Une fois que la visibilité des applications est obtenue,
la seconde étape est d'optimiser les performances des
applications. On a pour cela recours au produit de WAAS ou
de services d'application de réseau étendu de Cisco, qui est
disponible dans une gamme de formats allant des appareils,
de solutions intégrées sur l'ISR G2, aux versions virtualisées
appelées vWAAS qui fonctionnent sur l'UCS de Cisco et
d'autres serveurs de virtualisation. Les services de cloud
sont à l'origine du besoin de nouvelles solutions
d'optimisation du WAN pouvant intelligemment mettre en
commun et fournir des ressources, de manière élastique
et simplifiée, avec une plus grande facilité d'administration
des déploiements de cloud privé, public et privé virtuel.
Par exemple, le « bring your own device » (B.Y.O.D)
nécessite une connectivité mobile locale, bien que le
flux des applications dans le cloud privé augmente pour
prendre en charge les e-mails, les connexions sur Internet,
les bureaux virtuels, les applications commerciales, etc.
Pour apporter et maintenir une excellente expérience
utilisateur, la capacité à ajouter, de manière rapide et
transparente, une optimisation WAN sur la cloud privé
et/ou virtuel en tête de réseau est primordiale.
Étant donné que les services WAAS constituent une
optimisation WAN et un service réseau d'équilibrage
de la charge déployé dans les filiales et les data centers,
la nécessité de pouvoir mettre en commun cette ressource
et de la contrôler afin de renforcer sa capacité à optimiser
les performances des applications à l'échelle est devenue
significative. Cisco a introduit AppNav à cette fin, puisque le
contrôle d'un regroupement virtuel unique de services réseau
d'optimisation du WAN peut être utilisé efficacement en
termes d'équilibrage de charge, comprenant la redirection
4
Guide de mise en réseau de filiales prêtes pour le cloud
du trafic, la classification et la distribution du flux. De plus,
AppNav réduit considérablement la complexité opérationnelle,
grâce à une évolutivité transparente et à une mise en
grappe, ainsi qu'à sa configuration, et sa surveillance
est intégrée avec le Gestionnaire central WAAS 5.0.
La technologie AppNav de Cisco virtualise les ressources
d'optimisation du WAN dans le data center en les mettant
en commun dans une ressource extensible, de manière à
ce qu'elles se basent sur la stratégie et sur la demande,
s'adaptent à l'échelle et aux performances. Elle s'intègre à
l'infrastructure de réseau virtuel et physique WAAS de Cisco,
qui prend en charge plus d'un million de connexions, protège
l'investissement et élargit également le service d'optimisation
du WAN pour satisfaire les demandes futures. AppNav
permet aux opérations informatiques d'optimiser à l'échelle
les performances des applications qui peuvent s'étendre
dans le data center de la filiale, du cloud et/ou de l'entreprise.
Bien que ce regroupement virtuel puisse être assez vaste,
l'outil de gestion d'AppNav fournit des opérations avec un
contrôle étroit mais flexible.
AppNav optimise des applications qui sont mises en œuvre sur
des déploiements de cloud à grande échelle, y compris de cloud
privé ou de VPC (cloud privé virtuel), en mettant en commun les
appareils d'optimisation du WAN, indépendamment de leur
format. Autrement dit, AppNav est rétrocompatible avec les
anciens appareils WAAS, tout en étant compatible en aval avec
le nouvel appareil WAVE (moteur de virtualisation étendu) de
Cisco, ainsi qu'avec les mises en œuvre vWAAS. Une fois qu'un
regroupement virtuel de WAAS est établi via AppNav, les
concepteurs informatiques peuvent diviser le regroupement de
différentes manières. Il est par exemple possible d'allouer une
portion du regroupement par application, de manière à ce qu'un
jeu d'appareils d'optimisation du WAN optimise uniquement un
certain type d'application. Le regroupement peut également être
divisé en se basant sur les politiques, telles que la structure
organisationnelle, y compris les RH, la finance, l'ingénierie,
l'industrie, etc., ou même les emplacements géographiques.
AppNav utilise efficacement les ressources d'optimisation
du WAN existantes et en ajoute davantage en cas de besoin
sans nécessiter le changement ou la reconfiguration des
portions du réseau. En d'autres termes, NetOps n'a pas
besoin de reconfigurer les adresses IP ou de changer l'état
du réseau lorsqu'une optimisation WAN est ajoutée ou
supprimée ; c'est une très grande simplification puisque
AppNav élimine le délai, le dérangement et le processus
auparavant requis pour installer un service d'optimisation
du WAN supplémentaire.
De plus, AppNav optimise les applications à travers les data
centers. Imaginez une entreprise qui utilise un appareil avec
logiciel gratuit dans son cloud privé et requiert au cloud une
lourde charge de travail, un équilibrage de charge d'une
lippisreport.com
application, etc. Certaines charges de travail peuvent être
déplacées dans un environnement VPC avec le vWAAS, de
manière à ce que l'optimisation du WAN soit incluse dans le
regroupement virtuel créé par AppNav. AppNav fonctionne
aussi sur le nouveau CSR dans un environnement de cloud
hébergé partagé, offrant de multiples VPC. Une entreprise
peut dorénavant évoluer et utiliser différents types de clouds,
en sachant qu'elle peut optimiser les applications dans tous
les scénarii de cloud, grâce à la capacité d'AppNav à extraire
l'optimisation WAN dans un ou plusieurs regroupement(s)
virtuel(s).
AppNav est disponible dans la version 5.0 du logiciel WAAS
de Cisco et sous trois formats offrant une grande flexibilité
de déploiement. Il est disponible dans les appareils WAVE
de Cisco, la plate-forme CSR en tant que solution logicielle
et dans un avenir proche, sur les routeurs de la plate-forme
ASR 1000 intégré, dans un IOS XE. Veuillez noter que les
architectes informatiques peuvent mettre en œuvre AppNav
dans l'une des trois options de déploiement, ou dans les trois.
Optimisation du VDI via AppNav
L'évolutivité des pilotes VDI en vue de mises en œuvre à
grande échelle se confronte au problème de l'écart entre
les attentes en termes de cloud et le niveau de préparation
du WAN. Au moment où les pilotes VDI commenceraient
à évoluer, NetOps déploierait une optimisation de WAN
supplémentaire au niveau de la tête de réseau, grâce à un
trafic accru. Avec la mise en œuvre du module du logiciel
AppNav, il identifie automatiquement le nouvel appareil
WAAS. Lorsqu'AppNav est mis en œuvre, la stratégie est
définie par NetOps pour indiquer l'utilisation de son
regroupement virtuel. Par conséquent, lorsque le nouvel
appareil WAAS est déployé, AppNav utilise cette stratégie
afin d'optimiser automatiquement le trafic des applications,
à savoir, dans le cas présent, son trafic de bureau virtuel
à partir d'une filiale, par exemple. AppNav commencera
l'équilibrage des charges basé sur un nouveau regroupement
plus grand constitué de l'ancien regroupement d'optimisation
du WAN et de la ressource WAAS nouvellement mise en
œuvre, permettant de s'adapter à la croissance. Veuillez
noter qu'avant AppNav, NetOps devra changer les adresses
IP de la couche 3 sur chaque WAAS et entrer manuellement
les polices dans chaque dispositif d'optimisation du WAN.
En outre, il est possible que le nouvel appareil WAAS
mentionné ci-dessus ait été mis en œuvre dans un cloud
privé virtuel ou un simple cloud, et le module AppNav
fonctionnera sur le même cloud.
Connecteur HCS de viabilité sur l'ISR G2
Le connecteur HCS est la solution SRST (Survivable Remote
Site Telephony), mais il fonctionne maintenant avec la
solution de collaboration hébergée (HCS) de Cisco qui a
5
Guide de mise en réseau de filiales prêtes pour le cloud
été présentée en décembre 2011. Dans le cas d'une
interruption de la communication, comme une baisse de
tension, une congestion du WAN ou un échec de la liaison
WAN, le connecteur HCS sur l'ISR G2 garantit que les
appels VoIP ne sont pas interrompus. Pour cela, les appels
survenant entre les filiales sont retenus, ou si la sauvegarde
du PSTN (réseau téléphonique public commuté) est en
place, il sont transférés vers le PSTN. Le HCS est essentiel
pour les centres d'appel, les services financiers, les
magasins de détail et tout bureau qui fournit des services
d'assistance téléphoniques pour les clients.
Ceci est un exemple du réseau cloud intelligent de Cisco
pour des composants de mise en réseau des filiales,
qui illustre comment celui-ci peut être mis en œuvre pour
optimiser l'expérience utilisateur en obtenant une visibilité et
un contrôle des applications, en optimisant les performances
des applications et en assurant des services de
communication en temps réel ininterrompus.
Sécurité du cloud
Améliorer la sécurité de l'accès au cloud fait aussi partie
des trois difficultés à dépasser dans le gouffre existant entre
les attentes en termes de cloud et le niveau de préparation
du WAN. À titre d'exemple, de nouveaux outils logiciels
disponibles pour améliorer la sécurité de l’accès au cloud
dans un environnement de filiale avec réseau cloud
intelligent de Cisco, les services de réseau et connecteurs
présentés ci-après, sont employés sur les plates-formes
ISR G2, ASR 1000 et les nouvelles plates-formes CSR :
1. Connecteur ScanSafe sur la plate-forme ISR G2
pour offrir une sécurité basée sur le cloud.
2. Service de réseau FlexVPN sur les plates-formes
ISR G2, ASR 1000 et CSR pour une connexion VPN
unifiée pour l'accès au cloud.
Cisco a développé la nouvelle plate-forme CSR en vue
d'améliorer la sécurité. Le CSR est une plate-forme
virtualisée qui fonctionne sur n'importe quel serveur
virtualisé, tel que l'UCS de Cisco, HP, Dell, IBM, etc.
(en substance, toute machine qui fonctionne avec VMware
ESXi Hypervisor ou Citrix XenServer). Le CSR s'exécutera
également bientôt à la pointe de l'Hyper-V de Microsoft. Il
peut être utilisé dans des environnements informatiques
de cloud privé, public ou privé virtuel, mais il offre des
avantages uniques lorsqu'il est utilisé avec les produits VPC .
Le CSR apporte deux fonctions primaires : des services de
sécurité virtuelle et un point de contrôle. Tout d'abord, pour
les responsables IT qui placent des applications dans un
environnement VPC, le CSR offre un point de contrôle
stratégique. Les fournisseurs VPC tels qu'Amazon,
Terremark, Azure de Microsoft, etc., offrent aux responsables
IT la capacité de définir une topologie de réseau virtuelle qui
lippisreport.com
ressemble étroitement à un réseau traditionnel qu'on pourrait
faire fonctionner dans son propre data center. Les services
IT ont un contrôle total sur leur environnement de mise en
réseau virtuel, y compris sur la sélection de la gamme
d'adresses IP, la création de sous-réseaux et la configuration
des tables de routage et des passerelles réseau. Avec le
CSR, les architectes informatiques peuvent lancer une
machine virtuelle qui s'exécute comme un routeur et qui
ferme de manière sécurisée les connexions VPN des filiales
et/ou des utilisateurs à distance directement.
C'est un changement fondamental dans la conception
des mises en réseau des filiales et des accès à distance.
Il élimine les dépenses et les frais généraux de
réacheminement/reconnexion du trafic associé au cloud des
filiales aux points d'accès à Internet centralisés sur le réseau
MPLS d'entreprise. En résumé, il libère cette bande passante
pour les applications de cloud privé. Le CSR est un moyen
simple, efficace et évolutif de fournir un accès direct sécurisé
à un environnement VPC tout en réduisant la consommation
de bande passante.
Nous attendons des fournisseurs de services de contenu et
des autres qu'ils utilisent la combinaison de CSR et de VPC
pour la création d'une variété de services en vue de répondre
aux besoins des PME dans un premier temps, ainsi qu'à
ceux des grandes entreprises. Dans ce marché, le CSR crée
une faible barrière d'entrée puisque des plates-formes de
mise en réseau dédiées ne sont pas nécessaires, permettant
un modèle de déploiement efficace basé sur les besoins du
marché, la densité du trafic, le nombre de clients... Lorsque
cela s'avère nécessaire, un ou plusieurs réseaux agissant
comme des VM peuvent facilement être déployés, et en
conséquence, les CSR peuvent être associés à un ensemble
de clients fournissant un point de démarcation clair. Si le
CSR devient un point de contrôle pour chaque réseau virtuel
de client au sein d'un VPC, cela contribuera largement au
respect des exigences de conformité pour de nombreux
secteurs verticaux tels que les soins de santé, les services
financiers, etc.
Dans un cloud privé, les sociétés ont généralement une
tête de réseau terminant une connexion VPN telle que
l'ASR 1000, qui limite la nécessité d'un CSR. Toutefois,
dans un environnement de VPC, la société ou le client VPC
n'a pas sa propre infrastructure en place dans l'entreprise ;
par conséquent, le CSR fournit le point de contrôle que la
plupart des responsables des secteurs IT, si ce n'est tous,
recherchent.
En plus du CSR, les services d'accès sécurisé au cloud de
Cisco comprennent le connecteur ScanSafe sur l'ISR G2.
Le connecteur ScanSafe sur l'ISR G2 redirige le trafic
destiné au cloud et à Internet via la connexion Internet locale
à haut-débit vers la solution ScanSafe basée sur le cloud de
6
Guide de mise en réseau de filiales prêtes pour le cloud
Cisco, où les responsables informatiques bénéficient d'un
point de contrôle centralisé pour mettre en œuvre la stratégie
et son application, et réduire les risques dans les filiales.
ScanSafe supprime la reconnexion étant donné que l'ISR G2
transfère le trafic destiné au cloud et à Internet sur la large
bande au lieu de la connexion MPLS.
La troisième solution mise en œuvre par Cisco pour sécuriser
ses services d'accès au cloud est son FlexVPN sur les platesformes de routage ISR G2, ASR 1000 et CSR. FlexVPN
simplifie la configuration et la gestion de toute une gamme de
technologies VPN sous-jacentes, telles que le DMVPN, l'IPsec
VPN, le VPN d'accès distant, etc. FlexVPN sépare ces
technologies VPN sous-jacentes et fournit un moyen de
configuration et de gestion constant au niveau de la plate-forme.
Tous ces éléments montrent que le réseau cloud intelligent
de Cisco pour les composants de mise en réseau de filiale a
pour objectif de sécuriser l'accès au cloud et, dans les faits,
d'offrir aux concepteurs informatiques une utilisation
sécurisée des VPC. Avec l'utilisation du CSR et de
ScanSafe, la reconnexion peut être pratiquement supprimée,
assurant par là même que seul le trafic du cloud privé
transite par le réseau MPLS. FlexVPN réduit les coûts
opérationnels ainsi que les tâches en fournissant un
ensemble commun d'outils de configuration et de gestion
pour tous les types de tunnels VPN.
Simplification des opérations
Trois produits de base répondent à l'objectif de simplification
des opérations pour la structure de réseau cloud intelligent
de Cisco. Parmi ceux-ci figurent l'UCS série E ou l'UCS
Express de nouvelle génération, disponible en tant que
module ISR G2 à largeur simple ou double qui fonctionne
avec un Intel Xeon CPU quatre ou six cœurs, le trafic
centralisé et la surveillance des applications via le
gestionnaire Prime Assurance Manager (PAM) de Cisco,
et un nouveau format pour l'ASR appelé ASR 1002-X pour
fournir des performances à la demande et adaptées.
Tout d'abord, l'UCS série E génère de meilleures
performances que l'UCS Express pour exécuter
simultanément plusieurs applications et services réseau
de Cisco et de tiers. L'UCS série E est une plate-forme
d'hébergement des applications virtualisée, prenant en charge
l'hyperviseur VMware et l'Hyper-V de Microsoft. Par exemple,
les services réseau, tels que le vWLC (virtual Wireless LAN
Controller), le vWAAS, l'Infoblox, le Sage ACT et une vaste
gamme d'autres solutions de Cisco et de tiers peuvent
fonctionner simultanément sur l'UCS série E. Du point de vue
de la gestion, la couche de virtualisation peut être gérée via le
vCenter de VMware avec l'équipement UCS géré par le CIMC,
ou Chassis Integrated Management Controller, de Cisco pour
la gestion du contrôleur UCS. La simplification provient de
l'utilisation d'un modèle unique pour la gestion de tous les
lippisreport.com
déploiements UCS qui s'étendent entre les data centers et les
filiales, tout en apportant la consolidation de l'infrastructure
pour les filiales grâce à l'hébergement d'application virtualisée
sur les routeurs ISR G2.
Ensuite, le gestionnaire Prime Assurance Manager (PAM)
de Cisco fournit un outil d'interface pour le service de réseau
AVC mentionné ci-dessus, qui présente des données de trafic
et des informations sur la visibilité des applications pour
l'analyse centralisée et la création de rapports. Pour obtenir la
visibilité des applications sur le réseau LAN sans fil au sein de
la filiale, le point d'accès Aironet 3600 de Cisco a été amélioré
pour le cloud, afin de fournir une surveillance des applications
cloud et commerciales à travers l'ensemble de la filiale. Le
gestionnaire PAM offre une console de gestion unique pour la
surveillance. Il permet d'identifier, de hiérarchiser et de
contrôler les applications de manière centralisée.
De plus, l'ASR 1002-X est un nouveau format de l'ASR 1 000,
offrant une amélioration de la performance à la demande sans
qu'il soit nécessaire d'installer un nouveau processeur de
transfert ou d'acquérir un nouvel équipement. Une version
supérieure de licence logicielle permet d'obtenir des
performances ASR près de sept fois supérieures. Une fois la
version supérieure de la licence logicielle acquise par accès
distant, il est possible d'augmenter ses performances entre 5 et
36 Go. L'ASR 1002-X propose un modèle facturé à l'utilisation,
qui élimine donc le processus de remplacement complet chaque
fois qu'il est nécessaire d'augmenter le débit ou que la bande
passante est requise au niveau de la tête de réseau WAN.
Tous les éléments ci-dessus sont reliés à la fourniture
d'outils, de flexibilité de déploiement ainsi que d'options de
gestion et de surveillance en vue de simplifier les opérations
et de baisser leurs coûts.
Synthèse
La solution de réseau cloud intelligent de Cisco offre un
ensemble complètement nouveau d'options de conception
pour différents types de secteurs. Elle permet que certaines
options, simplement impossibles auparavant, tirent parti des
forces et des avantages du cloud computing ainsi que de
fonctionnalités et fonctions éprouvées, développées pour
la mise en réseau des filiales. Voici quelques exemples.
Imaginez un magasin de vente au détail avec une campagne
de publicité située sur un serveur Terremark dans un VPC.
Grâce au réseau cloud intelligent de Cisco, le magasin est
en mesure d'exécuter une application redondante pour sa
campagne de publicité sur le serveur UCS série E, lui offrant
une viabilité. Par conséquent, en cas de baisse de tension
susceptible de couper l'accès au VPC, la campagne de
publicité sera toujours traitée sans interruption, grâce à
l'hébergement des applications en local. De plus, grâce au
connecteur HCS de Cisco sur l'ISR G2 avec VoIP, les appels
7
Guide de mise en réseau de filiales prêtes pour le cloud
IP bénéficient de l'assurance d'un service ininterrompu en
cas de congestion du réseau ou de baisse de tension.
Du point de vue de la conformité à la PCI, de nombreux
détaillants utilisent le « carré » de la société pour héberger
leur point de vente ou leurs applications PoS dans un
environnement VPC. Pour garantir que le détaillant est en
conformité avec la PCI, ses transactions par carte bancaire
sont transmises de manière sécurisée, en faisant aboutir
les connexions VPN sur un routeur CSR situé sur un VPC.
Le détaillant bénéficie d'un accès et d'un contrôle direct
sur son environnement VPC, lui permettant de garantir
sa conformité à la PCI et de générer des rapports,
tout en réduisant ses coûts liés à l'infrastructure PCI.
Banque de détail
Dans le secteur bancaire, une excellente expérience utilisateur
a entraîné l'hébergement d'un nombre croissant d'applications
de caisse sur des bureaux virtuels. Le réseau est essentiel à
cette expérience, en supposant que la banque utilise l'ISR G2
équipé de la technologie AVC, qui lui permet d'avoir une
visibilité sur les applications. En parallèle, les services
WAAS prêts pour Citrix optimisent les bureaux virtuels.
Les connexions VPN des agences bancaires se terminent
en toute sécurité dans leur cloud privé grâce à l'utilisation de
l'ASR 1000 avec FlexVPN, offrant une configuration et une
gestion simplifiées de l'ensemble des VPN. NetOps utilise le
gestionnaire PAM de Cisco, alimenté de statistiques de trafic
grâce à la technologie AVC. Ceci permet de contrôler,
hiérarchiser et surveiller les applications.
Dans l'agence bancaire, un client discute avec un agent en
hypothèque/refinancement qui navigue sur Internet afin de
présenter une liste de possibilités de refinancement. L'agent
accède à des pages Web fiables et à l'accès sécurisé, grâce
au connecteur ScanSafe qui, une fois encore, se trouve sur
le même ISR G2 équipant la filiale.
Éducation
Une université a déployé FlexVPN sur un ASR 1002-X et les
services WAAS avec un DRE (Data Redundancy Elimination)
sensible au contexte, accompagné d'AppNav sur un ISR G2.
Imaginez l'université de Phoenix ou toute autre université qui
propose des cours et des formations en ligne en diffusant
des conférences sur de multiples sites. Pour s'assurer que
le contenu vidéo est optimisé dans les nombreuses filiales,
l'université déploie un DRE WAAS sensible au contexte, qui
transmet uniquement le nouveau contenu, réduisant ainsi
l'utilisation de la bande passante par la vidéo, tandis que les
nombreux services réseau d'optimisation WAN sont mis en
commun et gérés avec AppNav. Les conférences vidéo sont
transmises de manière sécurisée par les VPN, grâce à la
présence de FlexVPN sur le routeur ASR 1002-X.
lippisreport.com
Recommandations :
Le réseau cloud intelligent de Cisco pour la mise en réseau
de filiale redéfinit la mise en réseau étendu à l'ère du cloud
computing. Cisco propose un ensemble de connecteurs
cloud, de services de réseaux optimisés pour le cloud ainsi
que la nouvelle plate-forme CSR, qui offre aux architectes
informatiques les outils nécessaires pour combler l'écart
entre les attentes en termes de cloud et le niveau de
préparation du WAN. À l'exception du module UCS série E
sur l'ISR G2, tous les autres services réseau et connecteurs
cloud sont des compléments logiciels aux plates-formes ISR
et ASR, permettant le déploiement rapide et la préparation
au cloud de la mise en réseau des filiales. L'écosystème
de connecteurs cloud développé dans le cadre de
l'environnement OnePK SDN de Cisco peut être utilisé par
les entreprises, les fournisseurs de services, les fournisseurs
de cloud et les partenaires développeurs pour exploiter
l'intelligence réseau et concevoir des solutions logicielles
au sommet des plates-formes de routage et de commutation,
afin d'offrir des solutions innovantes à leurs clients, employés
et partenaires. Il y a lieu d'espérer que la solution de réseau
cloud intelligent de Cisco et son écosystème combleront
globalement l'écart entre les attentes en termes de cloud et
le niveau de préparation du WAN, et permettront à Cisco et
à ses partenaires de mettre rapidement en œuvre des
solutions qui suivront le rythme effréné du cloud computing.
Les recommandations suivantes sont proposées :
 Évaluez le niveau de préparation du réseau de filiales
au cloud. S'il n'est pas prêt pour le cloud, envisagez
alors la mise en œuvre des nombreux modules
logiciels associés à la solution de réseau cloud
intelligent de Cisco.
 Commencez à utiliser la technologie AVC en la
mettant en œuvre dans l'ISR G2 et l'ASR 1 000 avec
transmission d'ensembles de rapports (conformes
Flexible NetFlow) au gestionnaire PAM de Cisco ou à
un tiers afin d'obtenir une visibilité des applications.
 Une fois une visibilité des applications obtenue,
utilisez AppNav pour mettre en commun les services
de réseau d'optimisation WAN afin d'optimiser les
performances d'applications hiérarchisées.
 Mettez en œuvre l'accès à la connexion haut-débit
des filiales avec l'objectif de déplacer le trafic Internet
des réseaux fédérateurs MPLS vers l'infrastructure
haut-débit.
 Commencez à éliminer la reconnexion en faisant des
essais avec le connecteur ScanSafe.
 Faites des essais avec les solutions VPC et le point
de contrôle CSR étant donné que VPC est une option
de cloud computing à évolution rapide.
 Envisagez d'utiliser le FlexVPN pour gérer les VPN
existants et configurer les nouveaux.
8
Guide de mise en réseau de filiales prêtes pour le cloud
À propos de Nick Lippis
Nicholas J. Lippis III est un expert mondialement reconnu des réseaux IP avancés, des communications
et des avantages qu'ils offrent aux entreprises. Il publie le rapport Lippis, une ressource pour les décideurs
informatiques et réseau à laquelle plus de 35 000 dirigeants informatiques sont abonnés. Les podcasts du
rapport Lippis ont été téléchargés plus de 180 000 fois. Avec i-Tunes, les auditeurs ont également téléchargé
les podcasts « Money Matters » du Wall Street Journal, « Climbing the Ladder » de Business Week,
« The Economist » et « IdeaCast » de The Harvard Business Review. M. Lippis travaille actuellement
avec ses clients à la conception de leurs architectures réseau de cloud computing pour les data centers
privé et public virtualisés, l'objectif étant d'obtenir les meilleurs résultats pour l'entreprise.
Il a conseillé de nombreuses entreprises figurant au classement Global 2000 en ce qui concerne leur architecture réseau,
leur conception et leur mise en œuvre, le choix de leurs fournisseurs et l'établissement de leur budget. Parmi ces entreprises
figurent Barclays Bank, Eastman Kodak Company, Federal Deposit Insurance Corporation (FDIC), Hughes Aerospace, Liberty
Mutual, Schering-Plough, Camp Dresser McKee, l'État d'Alaska, Microsoft, Kaiser Permanente, Sprint, Worldcom, Cisco
Systems, Hewlett Packet, IBM, Avaya et bien d'autres encore. Il travaille exclusivement avec les directeurs informatiques
et leurs collaborateurs directs. Fort de son expérience auprès d'entreprises créatrices de produits et technologies et
d'entreprises utilisatrices, M. Lippis possède une vision unique des forces et tendances à l'œuvre dans le secteur des
réseaux informatiques.
M. Lippis a reçu le prestigieux prix Boston University College of Engineering Alumni pour les innovations apportées au secteur.
Il a été nommé l'une des 40 personnes les plus influentes du secteur des réseaux par la société Network World. TechTarget,
une revue en ligne spécialisée, lui a attribué le nom de « gourou de la conception réseau » tandis que Network Computing
Magazine l'a désigné « star de l'informatique ».
M. Lippis a créé l'entreprise Strategic Networks Consulting, Inc., une société de conseil respectée et influente, spécialisée dans
le secteur des réseaux informatiques, qui a été achetée par Softbank/Ziff-Davis en 1996. Il est souvent le principal intervenant
lors de conférences du secteur et ses déclarations sont largement reprises aussi bien dans la presse spécialisée que
commerciale. Il siège au comité consultatif du doyen de la Faculté d'ingénierie de l'Université de Boston et aux comités
consultatifs de nombreuses jeunes entreprises. Il a tenu le discours d'ouverture de la cérémonie de remise des diplômes de
la Faculté d'ingénierie de l'Université de Boston en 2007. M. Lippis a obtenu sa Licence en Ingénierie électrique et son Master
en Ingénierie des systèmes à l'Université de Boston. Pour son mémoire de Master, il a suivi des cours techniques spécifiques et
collaboré avec des conseillers de l'Institut de technologie du Massachusetts dans le domaine des communications et systèmes
informatiques à fibre optique.
lippisreport.com