3.1.2 Cisco Catalyst Center Day-0 with PnP

Introduction

Le Cisco Network Plug and Play (PnP) permet de réaliser un onboarding automatique des équipements lors des opérations Day-0 via Cisco Catalyst Center.

L’objectif est de permettre à un équipement neuf de :

  • Se connecter automatiquement au réseau lors de son démarrage.
  • Découvrir Cisco Catalyst Center.
  • Recevoir sa configuration.
  • Recevoir éventuellement son image logicielle.
  • Être intégré au bon site et au bon groupe.

Catalyst Center se charge ensuite automatiquement :

  • Du provisionnement.
  • De l’application des templates.
  • De l’affectation aux groupes.
  • De la mise en place de mécanismes de contrôle pour sécuriser les déploiements massifs.

Cette approche réduit considérablement les opérations manuelles et simplifie le déploiement de nouveaux équipements.

Fonctionnalités de Cisco Network PnP

Les principales fonctionnalités de Cisco Network PnP sont :

  • Gestion centralisée des équipements.
  • Support des switch stacks.
  • Support des équipements sans fil.
  • Application mobile Cisco PnP.
  • Découverte automatique de Cisco Catalyst Center.
  • Authentification sécurisée des équipements.
  • Utilisation de templates de configuration.

Grâce à cette solution, un technicien sur site peut simplement installer l’équipement tandis que l’administrateur réseau conserve le contrôle de toute la configuration depuis Catalyst Center.

Composants de la solution Cisco Network PnP

Cisco Network PnP permet l’intégration automatique :

  • Des switches.
  • Des routeurs.
  • Des points d’accès sans fil.

Lors du démarrage, un agent embarqué dans l’équipement contacte Cisco Catalyst Center afin de télécharger le logiciel et la configuration nécessaires.

Cisco PnP IOS Agent

Le Cisco PnP IOS Agent est intégré directement dans les équipements Cisco.

Lors du premier démarrage :

  • Il recherche automatiquement un contrôleur.
  • Il établit une communication avec Cisco Catalyst Center.
  • Il utilise le protocole Cisco PnP via HTTPS.

Cet agent est responsable de l’initialisation du processus de provisionnement.

PnP Server

Le PnP Server est hébergé dans Cisco Catalyst Center.

Il constitue la partie serveur de la solution PnP et joue le rôle de contrôleur central.

La plateforme Catalyst Center :

  • Héberge plusieurs applications SDN.
  • Utilise des API REST northbound.
  • Supporte plusieurs protocoles southbound.
  • Automatise les déploiements réseau.

Le serveur PnP est donc responsable de la gestion et du provisionnement des équipements.

PnP Protocol

Le PnP Protocol assure la communication entre :

PnP Agent
     ↕
PnP Server

Il permet notamment :

  • L’échange d’informations de découverte.
  • Le téléchargement des configurations.
  • Le téléchargement des images logicielles.
  • Le provisionnement automatisé.

Cisco PnP Connect

Cisco PnP Connect est un service cloud optionnel.

Il est utilisé lorsque les méthodes classiques de découverte ne sont pas disponibles :

  • DHCP
  • DNS

Dans ce cas, l’équipement contacte :

devicehelper.cisco.com

afin d’obtenir l’adresse IP du serveur PnP associé à l’organisation.

PnP Connect permet donc une découverte automatique du contrôleur même lorsqu’aucune infrastructure locale n’est disponible.

Authentification SUDI

Les équipements compatibles SUDI disposent d’un composant matériel appelé :

Trust Anchor Module (TAm)

Ce composant contient un certificat unique :

SUDI
Secure Unique Device Identifier

installé en usine.

Ce certificat constitue une racine de confiance matérielle.

Utilisation du certificat SUDI

Le certificat SUDI est utilisé pour :

  • L’authentification de l’équipement.
  • Les connexions HTTPS/TLS.
  • Les connexions SSH.
  • Le provisionnement sécurisé ZTP/PnP.

Il garantit que l’équipement qui se connecte est bien un équipement Cisco authentique.

Composants optionnels

Application Cisco PnP Mobile

Cisco propose une application mobile disponible sur :

  • iOS
  • Android

Cette application permet :

  • De récupérer une configuration bootstrap.
  • D’initier des déploiements de sites distants.

La connexion avec Catalyst Center peut être réalisée via :

  • Wi-Fi
  • 4G
  • 5G

La configuration est ensuite transférée vers l’équipement via un câble série spécifique.

Cisco SMI Proxy

Le Cisco Structure of Management Information (SMI) Proxy est utilisé pour les anciens switches Cisco qui ne supportent pas nativement Cisco PnP.

Il agit comme intermédiaire entre :

  • Les anciens switches.
  • L’application Cisco Network PnP.

À noter que ce proxy n’est pas supporté sur les plateformes de routage.

Workflow Cisco Network PnP

Après avoir compris les composants PnP, il est nécessaire de comprendre leur interaction avec Cisco Catalyst Center.

Le workflow PnP se déroule en trois étapes principales :

  • Design
  • Claim
  • Provision

Étape 1 : Design

L’étape Design consiste à préparer l’environnement dans Cisco Catalyst Center.

On y définit notamment :

  • Les pools d’adresses IP.
  • Les identifiants.
  • Les paramètres DNS.
  • Les paramètres AAA.
  • Les profils réseau.
  • La hiérarchie des sites.

Un Network Profile est ensuite créé.

Ce profil définit :

  • Les fonctions de l’équipement.
  • La connectivité interne du réseau.
  • Les paramètres nécessaires au déploiement.

Enfin, ce profil est associé à un ou plusieurs sites.

Étape 2 : Claim

Lorsqu’un équipement est connecté au réseau :

  • Il découvre Catalyst Center grâce à Cisco PnP.
  • Il apparaît dans Catalyst Center comme un équipement Unclaimed.

Le processus de Claim consiste à associer cet équipement à un site spécifique.

Cette étape permet à Catalyst Center de savoir où l’équipement doit être déployé.

Étape 3 : Provision

Une fois l’équipement associé à un site :

  • Il devient prêt pour le provisionnement.
  • Les paramètres spécifiques à l’équipement sont appliqués.
  • Les interfaces et paramètres propres au site sont configurés.

La majorité des informations proviennent du profil défini lors de la phase Design.

Une fois les services actifs, l’équipement récupère sa configuration via Cisco Network PnP.

Découverte du contrôleur (Controller Discovery)

Pour que le processus PnP démarre, l’équipement doit d’abord découvrir Cisco Catalyst Center.

Quatre mécanismes sont disponibles.

Découverte via DHCP Option 43

Le serveur DHCP fournit l’adresse IP du contrôleur via :

Option 43

Cette méthode est la plus couramment utilisée.

Exemple :

ip dhcp pool pnp_device_pool
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 option 43 ascii "5A1N;B2;K4;I172.19.45.222;J80"

Dans cet exemple :

172.19.45.222

correspond à l’adresse IP du serveur Cisco Catalyst Center.

Une fois cette option reçue, l’équipement sait quel contrôleur contacter.

Découverte via DNS

Le serveur DHCP fournit un nom de domaine.

L’équipement effectue alors une résolution DNS vers :

pnpserver.<votre_domaine>

afin de localiser Catalyst Center.

Cloud Redirection

Une redirection cloud peut être utilisée pour découvrir automatiquement le contrôleur.

Cette fonctionnalité est actuellement disponible de manière contrôlée.

Découverte via clé USB

Une clé USB peut être utilisée pour les équipements distants nécessitant une configuration WAN minimale.

Cas typiques :

  • Sites distants.
  • Déploiements MPLS.
  • Routeurs sans connectivité initiale.

La clé USB fournit les informations nécessaires pour permettre au routeur de rejoindre le réseau.

Démarrage du processus PnP

Après la configuration du serveur PnP dans Catalyst Center :

  • Les images logicielles sont chargées.
  • Les fichiers de configuration sont chargés.

Lorsqu’un routeur ou un switch compatible PnP démarre sans configuration :

  1. Il demande une adresse IP via DHCP.
  2. Il reçoit l’option 43.
  3. Il découvre Catalyst Center.
  4. Il lance automatiquement le processus Cisco Network PnP.

La présence d’une option 43 correctement formatée est donc l’élément déclencheur du processus de découverte automatique.

Conclusion à retenir

Cisco Network PnP permet un onboarding automatisé Day-0 via Cisco Catalyst Center. La solution repose sur un PnP Agent, un PnP Server et le protocole PnP sur HTTPS. Le workflow suit les étapes Design → Claim → Provision, permettant de préparer le déploiement, d’associer les équipements à un site puis d’appliquer automatiquement leur configuration. La découverte du contrôleur peut être réalisée via DHCP Option 43, DNS, PnP Connect ou une clé USB, tandis que le certificat SUDI garantit l’authentification sécurisée des équipements lors du provisionnement.

Retour en haut