Cisco Mag

L'importance de l'infrastructure réseau pour le BYOD

Date de publication: 13.04.2012

Après la mode du Bio voici celle du BYOD ! Comment contrôler efficacement la connexion des terminaux personnels sur le réseau de l’entreprise ? Ce Ciscomag donne de nombreux éléments de réponse (profilage, interaction avec des MDM, solution de management…) mais quels sont les pré-requis sur l’infrastructure réseau ? Est-il possible de faire du BYOD efficacement sur tout type d’infrastructure réseau ? En quoi un réseau Cisco apporte-t-elle une réelle valeur ajoutée pour le BYOD ?

Des performances Wi-Fi inégalées

La plupart des terminaux personnels qui arrivent sur le réseau de l’entreprise se connectent en Wi-Fi. La plupart de ces terminaux (smartphones, tablettes…) ne possèdent d’ailleurs pas de ports RJ45 et le Wi-Fi reste le seul mode possible de connexion.

De fait l’infrastructure Wi-Fi en place doit s’adapter à l’arrivée de tous ces nouveaux terminaux. Les Access Points Cisco Aironet 3600 offrent une performance 30% supérieure aux autres équipements du marché grâce à la technologie ClientLink 2.0 :

  • Les terminaux 802.11a/g et 802.11n fonctionnent au débit maximal possible
  • Les AP orientent les signaux vers les terminaux concernés grâce à des techniques sophistiquées d’interférences positives/négatives créées entre les différentes antennes
  • Anticipation des interférences causées par l’environnement. L’Access Point émet plusieurs signaux sur les différentes antennes en même temps de telle sorte que ces derniers s’additionnent après par exemple rebonds sur une porte métallique

Figure 1. CISCO Aironet 3600 Series Access Point

Toutes ces solutions permettent non seulement d’avoir les performances optimales pour les terminaux personnels, mais surtout de s’assurer que des terminaux qui n’implémentent pas les standards professionnels de connexion (utilisation de la bande des 5 GHz par exemple) ne dégradent pas les performances des équipements de l’entreprise qui fonctionneraient sur cette bande.

En complément cet Access Point intègre la technologie VideoStream qui permet une diffusion optimale des flux vidéo multicast sur le réseau Wi-Fi (via une conversion en n flux unicast). Ainsi si de nombreux employés désirent suivre le même flux multicast sur leurs équipements personnels non optimaux (faible niveau de réception), cela ne risque pas de dégrader les performances pour ceux qui suivraient depuis un équipement correctement connecté.

Trustsec – 802.1X

Les commutateurs d’accès supportent de nombreuses fonctionnalités permettant d’allouer le niveau de service approprié en fonction de l’équipement connecté et/ou de l’utilisateur. L’accès peut être basé sur les résultats d’une authentification 802.1X, une authentification web sur un serveur idoine (par exemple ISE – Identity Service Engine) ou bien l’adresse MAC. Cette souplesse disponible sur les commutateurs d’accès permet d’utiliser les mêmes mécanismes de connexion que l’accès soit filaire ou en Wi-Fi.

La fonction Change of Authorization (CoA) supportée sur les commutateurs Catalyst et contrôleurs Wi-Fi est essentielle pour le BYOD puisqu’elle permet de modifier les paramètres de connexion après une première authentification. Par exemple un usager va être placé dans un premier VLAN après authentification 802.1X puis dans un second une fois que son terminal est profilé reconnu (profilage)

Trustsec SGT (Security Group Tag) – Un tag de sécurité dans les trames Ethernet pour mieux contrôler la sécurité

De plus en plus d’équipements Cisco de la gamme entreprise supportent les tags de sécurité (Security Group Tags – SGT). Ces tags sont une extension standardisée de la trame Ethernet qui permet de propager sur le réseau une information quant au groupe de sécurité auquel appartient la source. Traditionnellement les VLAN sont utilisés pour faire ce découpage mais cela complexifie inutilement le réseau et les règles de sécurité. Avec les SGT il est possible d’ajouter simplement des nouveaux groupes sans modifier la configuration du réseau. Des ACL pourront ensuite se baser sur ces tags pour la réalisation des filtrages souhaités.


Figure 1. Trustsec – Security Group Tagging

Avec l’arrivée de terminaux personnels dans l’entreprise, il devient nécessaire de catégoriser les usagers non seulement en fonction de leur identité mais aussi en fonction de l’équipement avec lequel ils se connectent. Les SGT vont permettre de très simplement permettre cette segmentation. Par exemple les employés se connectant depuis leur terminal personnel pourront rester dans leur VLAN habituel mais ils seront placés dans un groupe de sécurité différent. Cela contribue non seulement à simplifier le déploiement du BYOD mais permet également d’être plus précis dans les règles de filtrage. Le tableau suivant donne un exemple simple de règles qui peuvent être définies.

Figure 3. Définition des règles de filtrage

SRC \
DST

Serveur Marketing (111)

Serveur Bureautique (222)

Serveur Développement (333)

Marketing Users (10)

Permit all

Deny all

Deny all

Invité.
Users (30)

Deny all

Deny all

Deny all

ISE (Identity Service Engine) permet de définir simplement ces règles et de les appliquer automatiquement sur les équipements réseaux adéquats.

Profilage local sur le commutateur d’accès

IOS sensor (aussi connu sous le nom « device sensor ») permet de déporter certaines fonctions de profilage sur le commutateur afin de diminuer la charge au niveau du serveur ISE et de simplifier la configuration permettant ce profilage. Un commutateur Catalyst 3750-X va directement être capable d’analyser automatiquement sur chacun de ces ports certaines informations permettant d’identifier l’équipement connecté (CDP, LLDP, DHCP, et bien sûr l’adresse MAC…) et les remonter au serveur ISE (via des champs radius accounting). Ce dernier se basera directement sur ces informations pour réaliser le profilage complet de l’équipement connecté. Cela permet par exemple de ne pas déclarer le serveur ISE comme dhcp-helper et d’éviter ainsi de complexifier inutilement les configurations.

Visibilité applicative

Avec l’arrivée de terminaux personnels sur les réseaux d’entreprise, il devient d’autant plus vital de contrôler les usages qui sont faits du réseau, de repérer les anomalies (par exemple des attaques) et de mettre en place les optimisations adéquates pour améliorer les performances des applications. Les équipements Cisco de la gamme entreprise offrent une instrumentation poussée pour visualiser en temps réel les applications transitant sur le réseau et leur performance :

  • Flexible Netflow : analyse fine des flux et export des statistiques
  • NBAR2 : mécanisme d’inspection approfondie des flux réseau qui permet de reconnaître ainsi plus de 1200 applications différentes
  • IP SLA : simulation de trafic applicatif pour tester les performances du réseau
  • Performance Agent et Performance Monitor : analyse des performances détaillées pour un flux particulier.

Les routeurs pourront utiliser cette instrumentation pour optimiser et contrôler le trafic des terminaux personnels :

  • QoS corrélée à NBAR2 : il est possible d’appliquer des règles de QoS directement sur les applications
  • Performance routing : permet de choisir le routage optimisé pour les différentes applications. Il sera possible de router les flux des équipements personnels de manière à ne pas perturber le trafic habituel de l’entreprise (par exemple en reroutant prioritairement ces flux de manière à éviter toute congestion du lien principal)

Tous ces mécanismes, disponibles sur les routeurs et/ou les commutateurs Cisco de la gamme entreprise (ASR 1000, ISR G2, commutateurs Catalyst) permettent à l’administrateur de visualiser finement l’impact du BYOD sur le réseau (profils de trafic, matrices de flux …) et de ne pas impacter les performances du trafic des applications métiers de l’entreprise.

IPv6

L’arrivée massive de nouveaux terminaux sur le réseau de l’entreprise continue de mettre à mal le stock d’adresses IP et les mécanismes de translation d’adresse qui doivent être capable de gérer plus de sessions. IPv6 s’impose comme unique solution viable pour le raccordement de tous ces nouveaux équipements à moyen terme. Les équipements Cisco offrent un support inégalé du protocole IPv6 et de toutes ses composantes dans les équipements de la gamme entreprise.

PoE et UPoE

Au delà d’accueillir les terminaux personnels, le BYOD s’intègre dans une logique visant à permettre le raccordement de tout type d’équipement sur le réseau d’entreprise, tout en s’adaptant automatiquement aux différents cas de figure. Le commutateur d’accès doit ainsi fournir l’énergie en plus de la connectivité réseau. PoE et Universal PoE (UPoE) vont automatiquement, après une phase de négociation, pouvoir alimenter en énergie les équipements connectés jusqu’à 60 Watts par port.

 

En savoir plus…

Technologie ClientLink 2.0
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps11983/at_a_glance_c45-691984.pdf

Datasheet Access Point Aironet 3600
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps11983/data_sheet_c78-686782.html

Cisco Trustsec (802.1x et SGT)
http://www.cisco.com/go/trustsec

Cisco IOS sensor (ou device sensor)
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/15.0_1_se/device_sensor/guide/sensor_guide.html

Application Visibility and Control
http://www.cisco.com/go/avc

Cisco IPv6
http://www.cisco.com/go/ipv6

 

Cet article en PDF

L'importance de l'infrastructure réseau pour le BYOD

Les autres articles de cette edition

Cisco France Blogs

Consulter les archives :

Contactez-nous