Une fonction extrêmement pratique intégrée dans les produits Cisco Meraki (switches et bornes WiFi) est le filtrage de niveau 7 sur le réseau. Mais qu’est-ce que ça permet?
Les bornes WiFi, switches et routeurs de Cisco Meraki intègrent tous l’analyse de trafic niveau 7 et le filtrage s’applique aux bornes WiFi et routeurs.
Mais alors c’est quoi “la visibilité niveau 7” ?
Le modèle OSI (Open Systems Interconnection model) définit 7 niveaux / couches réseaux. La 7ième est la couche applicative. Elle nous intéresse particulièrement aujourd’hui 🙂
Les produits Cisco Meraki intègrent – de base – l’analyse appelée “Deep Packet Inspection” (DPI) (pratique qui peut être controversée puisqu’elle n’est pas toujours utilisée qu’à des fins .. correctes). Pour la partie “Analyse” du trafic, les produits Cisco Meraki envoient au Cloud Cisco Meraki les informations relatives au trafic permettant de classifier ce trafic c’est à dire notamment les adresses IP, noms d’hôtes et ports utilisés pour faire une analyse comportementale du trafic. Cela permet de catégoriser le trafic et facilite le filtrage .. de niveau 7. En effet le Peer to Peer (P2P) par exemple utilise en permanence des ports et des IP différentes donc c’est difficile d’en bloquer le trafic juste sur la base d’une liste d’IP par exemple.
Cisco Meraki possède une base de données des “signatures de trafic” qui sert à reconnaitre les différents types de trafic. Grace à cette base de données, il est possible par exemple de configurer son équipement pour faire de la QoS (qualité de service) sur des services comme le streaming vidéo, le Peer to Peer, les services de sauvegarde etc.
Voici un exemple de ce que le tableau de bord Cisco Meraki :
On voit donc un historique du trafic sur le réseau WiFi mais également dans le camembert – cliquable – la répartition du trafic réseau. Et sous cela, le tableau la liste des applications / types de trafic détectés par l’analyse de niveau 7.
Il apparait notamment que Youtube représente 10% du trafic par exemple. Il est possible de classer les applications par nom, % du trafic, volume en Go, etc. Cette vue est disponible pour tout appareil dont le trafic passe par un switch, un routeur ou une borne WiFi Cisco Meraki (et la fonctionnalité est totalement désactivable). Evidemment pour le détail appareil par appareil , il faut que le trafic ne soit pas NATé par un autre appareil (un autre routeur d’une autre marque etc).
Comment bloquer un type de trafic grâce au filtrage de niveau 7
Maintenant mettons que vous souhaitiez bloquer un certain type de trafic sur votre réseau. C’est – vous allez voir – d’une simplicité enfantine s’il fait partie des définitions proposées par Cisco Meraki :
Dans le tableau de bord Cisco Meraki on se rend dans Wireless (pour le Wifi par exemple) puis dans la section Configure dans “Firewall & traffic shaping”
Ici, nous sommes dans le cas d’un Hôtel qui pour ne pas être ennuyé par Hadopi veut bloquer le trafic Peer to Peer. Nous avons donc un simple réglage à appliquer :
Dans “Layer 7 Firewall Rules” on a créé une politique “Deny” pour le Peer to Peer entier. Il est aussi possible d’être plus sélectif et par exemple de n’interdire que le BitTorrent.. Les catégories proposées à ce jour sont : Blogging / Email / File Sharing / Gaming / News / Online Backup / Peer to Peer / Social web & Photo sharing / Sports / Video & Music / VOiP & Video Conferencing / Web File sharing. Il est aussi possible de créer ses propres règles.
Comment appliquer une politique spécifique à un type de trafic grâce au filtrage de niveau 7 ?
Le filtrage de niveau 7 ne sert pas qu’à “bloquer” un type de trafic, il permet aussi de faire de la qualité de service sur son réseau.
Mettons que sur votre WiFi gratuit (ou payant..) vous autorisiez 2 Mbps par appareil connecté mais que vous voulez faire en sorte que le trafic des appels Skype ne soit pas soumis à cette restriction. Encore une fois, plutôt facile :
Ici comme vu sur la capture d’écran de notre configuration : on applique une limite par client à 2 Mbps mais on crée une règle liée au trafic VoIP & Videoconferencing qui dit : bande passante illimitée pour ces applications. Comme vous le voyez il est aussi possible d’appliquer des tags PCP / DSCP au trafic pour le prioriser ou au contraire le marquer comme non prioritaire.
Si vous voulez pousser votre compréhension de cette fonctionnalité chez Cisco Meraki, n’hésitez pas à lire leur “whitepaper” produit sur le sujet.
Note : il est possible de créer niveau routeur et wifi des politiques à appliquer à des groupes d’utilisateur. Ces groupes peuvent par exemple être les membres d’un VLAN, vous pouvez aussi appliquer des politiques différentes sur chaque SSID de votre réseau WiFi.
Vous êtes intéressé?
Vous avez besoin d’aide pour acheter, configurer, déployer un réseau ? Nous sommes experts Cisco Meraki depuis plusieurs années.. contactez nous pour nous parler de votre projet !
Si vous avez envie d’essayer Cisco Meraki quatre options s’offrent à vous :
- assister à un webinar Cisco Meraki en ligne et repartir avec une borne WiFi ou un switch offert
- vous faire prêter le matériel qui correspond à votre projet, idéal pour essayer bornes, switches et / ou routeurs.. ce qu’on appelle le “full stack” à savoir l’intégralité de l’infrastructure managée dans un seul tableau de bord – Contactez nous pour organiser ce prêt
- venez essayer Cisco Meraki dans nos bureaux à Paris
- prenons rendez vous, nous venons vous montrer la solution dans vos bureaux
