Cisco France Blog
Partager
tweet

Cisco France Blog > Réseaux

Réseaux

IOS-XE 17.6 sur commutateurs Catalyst 9000


30 August 2021

Oui, il y a eu un rayon de soleil cet été : la sortie de IOS-XE 17.6 pour nos switchs, routeurs et contrôleurs Wi-Fi ! C’est une release importante car comme vous le savez, les versions d’été ont le statut d’EMR (Extended Maintenance Release) et sont généralement privilégiées pour stabiliser les infrastructures.

C’est d’ailleurs entre ces releases EMR que ISSU (In-Service Software Upgrade) est disponible, par exemple pour des châssis double sup ou bien des switchs virtualisés avec Cisco Stackwise-Virtual. Je vous propose comme d’habitude un aperçu de ce qu’apporte cette nouvelle version, et bien évidemment je vous recommande chaudement de faire un tour sur les release notes de IOS-XE 17.6 : https://www.cisco.com/c/en/us/support/ios-nx-os-software/ios-xe-17/products-release-notes-list.html

Côté hardware, c’est surtout la première release EMR qui supporte le nouveau Catalyst 9300X que j’avais présenté succinctement dans mon résumé des annonces CiscoLive. On supporte ainsi les 2 modèles de commutateurs 9300X 12 et 24 port GE/10GE/25GE SFP+ ainsi que leurs modules d’uplink à très haute performance (2 ports 40GE/100GE QSFP, 8 ports10/25GE SFP+, ou encore 8 ports 10GE mGig. Ce switch qui possède un module de crypto (en plus du chiffrement MACSEC) va naturellement rebattre un peu les cartes dans le choix routeur vs switch en entrée de site.

Côté software nous avons là aussi beaucoup de nouveautés et ce à la fois côté sécurité, architectures, la plateforme et la programmation.

 

Sécurité et Zero-Trust

 

  • IPv6 FQDN Redirect ACL – cette feature, en Limited Availability (LA) dans cette version, étend le support des ACL de redirection basée sur le FQDN pour IPv6. Avec l’adoption massive de services dans le cloud, pouvoir contrôler les accès sur un FQDN est indispensable car les IP associées ne sont pas les mêmes selon l’endroit où vous vous trouvez. Cette feature simplifie donc considérablement la gestion des accès. Vous noterez le détail du support d’IPv6 et vous comprenez pourquoi je fais un bond sur ma chaise quand je tombe sur un cahier des charges se contente de mentionner “Support d’IPv6 – Oui / Non” !
  • Il y a des news aussi côté RadSec. Ce protocole sécurisé (en gros Radius over TLS) est capital quand votre serveur Radius est dans le cloud. Avec Cisco ISE disponible sur le marketplace AWS la dernière version 3.1, ce protocole de communication sécurisé prend encore plus de sens. Cette version 17.6 offre le support des CoA (Change of Authorization) sur le même canal que l’authentification, optimisant ainsi la performance, la sécurité et le management du protocole.

 

Architectures flexibles

 

  • Support de MPLS TE (Traffic Engineering) Vous savez que le Catalyst 9000 (à partir du 9300) supporte MPLS. Si on parle beaucoup de fabrics, le support de MPLS et de ses services est critique dans beaucoup d’infrastructures Campus / MAN. Ce premier niveau de support de MPLS TE est déjà bien complet puisque nous avons (en anglais dans le texte) : RSVP TE Label Allocation and Specified Bandwidth, MPLS TE with OSPF/ISIS, Metric IGP/TE / Admin weight, PE-PE, P-P and PE-P tunnel, Dynamic Path Option, Explicit Path Option, Exclude Path, Re-optimization, Tunnel Traffic Forwarding using Static Route, Autoroute Announce, MPLS TE OAM, L2VPN,L3VPN ,IPv4 and IPv6 Services over MPLS TE.
  • Support de LACP/PAGP over EoMPLS. Cela permet d’étendre un port-channel au-dessus d’une infrastructure MPLS.
  • Support de MLS snooping sur VPLS. Pour les fans du LAN étendu, ne pas oublier de contrôler le multicast, IPv4 comme IPv6. Cette feature vous permet de vous assurer que les flux multicast IPv6 ne soient diffusés que là où il y a des hosts qui ont fait une demande d’abonnement (protocole MLD)
  • Support du ESI multi-homing dans une infrastructure BGP EVPN VXLAN. Sur Catalyst 9000 on gère traditionnellement le multi-homing avec Stackwise-Virtual. Plutôt que de se casser la tête pour connecter un host ou un réseau sur plusieurs VTEPs, on groupe les VTEPs en un seul noeud virtuel et tout est simplifié/optimisé. Mais il peut arriver que cette redondance soit requise sans que Stackwise Virtual ne puisse être implémenté. Dans ce cas il faut implémenter le multi-homing basé sur ESI: voir documentation ici.
  • Stateful Switchover pour VRRPv3 – Permet de garder l’état VRRPv3 et de s’affranchir du process de réelection en cas de perte d’une carte sup dans un châssis ou d’un switch dans un stack.
  • Côté NAT, des évolutions avec une clarification de la précédence quand plusieurs règles NAT (static/dynamiques) sont configurées. On permet aussi de logguer plus de détails en tirant profit des améliorations déjà apportées en 17.5 qui permettent de largement augmenter le nombre de sessions NAT supportées.

 

Plateforme et Infrastructures

 

  • Support de PTP (Precision Time Protocol) sur Stackwise.
  • Support de PTP au-dessus d’une infrastructure SD-Access pour synchroniser des clients connectés à la fabric.
  • Interopérabilité de PTPv2 avec Etherchannel et MACSEC
  • Support d’AES67, standard pour transporter de l’audio haute performance sur les réseaux IP. Cela repose notamment sur le support de PTP et de la QoS associée.
  • Amélioration du support des gateways mDNS (routage du protocole Bonjour entre plusieurs liens) avec le support du SSO (pour garder les états en cas de switchover – Sup/stack), et avec le partage des états pour un service optimal avec protocole FHRP.
  • Support des VRF pour WCCP (permet des redirection de trafic web différentes par VRF)
  • Support de la version 4.0 de l’agent ThousandEyes pour une observabilité optimale sur l’expérience applicative. Je rappelle que si cet agent ne nécessite pas absolument de disque flash sur le switch pour disposer d’un premier niveau de mesures, l’ajout de flash ajoute plus de possibilités comme les chargements de page (page load) et tests de transaction (Transaction tests). Je rappelle aussi que des tests sont inclus dans le package DNA Advantage.
  • Simplification du process de l’installation d’application sur un disque SSD. Dès qu’un package signé par Cisco est détecté sur la flash du commutateur, ce dernier est automatiquement copié sur le disque SSD au reboot ou à la réactivation d’IOX.
  • Support de persistent PoE/UPoE avec Stackpower. Persistent PoE permet de continuer à délivrer du courant sur un port Ethernet même en cas de reload du switch. C’est important quand l’équipement joue un rôle clé dans l’alimentation électrique (bâtiment connecté…) Ici on propose persistent PoE/UPoE en combinaison avec Stackpower (feature dans laquelle un switch peut être alimenté par un autre via un stacking des alimentations).

 

Programmabilité / Devnet

 

  • Support de Netconf depuis le guest shell. Cela permet depuis le guest shell de configurer l’équipement via Netconf suivant des modèles YANG. Cette solution peut être utile quand pour une auto-configuration via ZTP (à ne pas confondre avec PNP), dans lequel un script est chargé puis exécuté sur le guest shell.
  • Support de la définition d’une souscription de télémétrie gRPC Dial-Out avec FQDN (permet de spécifier le host de destination avec un FQDN et non plus seulement une adresse IP).
  • Mise à disposition d’un modèle YANG qui donne la liste de tous les XPATHS qui supportent la télémétrie on-change. Cela permet de valider la faisabilité de la création d’un flux de télémétrie on-change, c’est-à-dire qui exporte des données quand il y a des changements d’état observés.

 

Beaucoup de nouveautés comme vous pouvez le voir et on adresse des sujets pointus, histoire de rappeler que la base est bien présente ! Je vous propose de regarder les release notes pour avoir le détail du support de ces fonctionnalités sur les diverses plateformes.

 

Références

 

 

@JeromeDurand

 

Tags:
Laisser un commentaire