Plusieurs d’entre vous m’ont indiqué qu’ils étaient nostalgiques de l’époque où je prenais le temps de donner ici les nouveautés principales pour les différentes versions logicielles. Je vais donc tâcher de vous faire plaisir et de recommencer ce travail mais je ne saurais tout de même que vous recommander de baser sur les release notes officielles que nous mettons à jour en continu. Voyons le bon côté des choses: ce travail ne sera pas trop compliqué puisque toutes les plateformes tournent le même logiciel IOS-XE avec 3 versions par an: Août, Décembre et Avril. Si après ça j’entends encore que c’est trop compliqué je ne vois plus quoi faire !
Regardons maintenant ce qui est nouveau côté SD-WAN sur les plateformes IOS-XE… Je liste ci-dessous les éléments principaux, vous retrouverez tous les détails sur les release notes officielles.
Onboarding des équipements
- Serveur ZTP on-prem – Pour les routeurs SD-WAN IOS-XE, la fonctions ZTP nécessitait jusque là un accès au cloud pour une automatisation complète. La composante “PNP connect” dans le cloud détermine ensuite quel serveur vBond du client doit être utilisé après avoir vérifié le numéro de série du routeur. Cette première étape est maintenant disponible on-prem.
- Bootstrap configuration – Il est aussi possible maintenant de sauvegarder sur le routeur SD-WAN une configuration minimale de boostrap qui sera utilisée dans les cas critiques où la configuration complète serait effacée sur l’équipement. Cette configuration permettra à l’équipement de se reconnecter au contrôleur pour être à nouveau intégré à l’infrastructure SD-WAN.
Admin
- Add-on CLI templates – L’IOS-XE est tellement riche ! Pourquoi se priver de capacités parce qu’elles ne seraient pas encore disponibles sur la GUI du vManage? Avec cette feature arrivée au printemps dernier, on peut activer une fonctionnalité du routeur en CLI. Cette fonctionnalité était très demandée par les Service Providers qui souhaitaient aller au-delà de ce que proposer l’interface graphique déjà très riche. Cette nouvelle release 17.3 permet de configurer encore davantage de fonctionnalités en CLI.
- Embedded Packet Capture – Il devient possible d’activer un tcpdump depuis la GUI du vManage et de récupérer les traces pour les équipements IOS-XE. Cette fonctionnalité était disponible initialement sur les vEdges ou dans la CLI de l’IOS-XE.
Routage
- Tunnels dynamiques – Le déterminisme dans la topologie a du bon et permet de connaître en temps réel les performances de tous les tunnels. Mais certains clients avaient besoin parfois d’un peu plus de souplesse et c’est ce qui est apporté par les tunnels dynamiques. Les aficionados de DMVPN et FlexVPN devraient apprécier 🙂
- Support de BFD – Support ajouté pour BGP, OSPF et EIGRP pour accélérer la convergence
- Route leaking entre la GRT (Global Routing Table) et les VPNs de service – Cisco SD-WAN fournit une vraie segmentation basée sur des VRF étanches. Pas de pseudo-segmentation avec un bricolage d’ACL chez nous ! Mais parfois il faut pouvoir passer d’un VPN (ie. VRF) à l’autre. C’est ce qui est permis ici. Le cas d’utilisation principal est de pouvoir faire communiquer directement un site non-SDWAN avec un site SDWAN par une infrastructure privée (MPLS VPN opérateur par exemple), sans repasser par un site passerelle centralisé
- Propagation des BGP communities sur OMP (qui gère le routage dans l’overlay SD-WAN) – On gérait cela préalablement via des mappings communities BGP / OMP tags. Plus besoin de ces bidouilles pour les clients qui ont des architectures de routage nécessitant de propager des communautés entre sites.
- Amélioration de l’agrégation OMP – Cette dernière ne s’active plus que pour les routes redistribuées afin d’éviter un éventuel trou noir suite à une fausse manipulation (qui ne s’est jamais planté sur une configuration).
- Tracker sur les routes statiques – Permet d’invalider une route en fonction de la disponibilité d’une IP (test IP SLA). Je rappelle ici que vous pouvez aussi utiliser des protocoles de routage 😉
- Tracker sur Service-Insertion – Cisco SD-WAN permet d’insérer tout service (firewall tiers, proxy…) aisément dans l’architecture et vous permet d’y rediriger le trafic désiré par application d’une simple policy. Cette fonction de tracker permet de conditionner ces règles à la réelle disponibilité de ces services.
- Service-side NAT – Cette fonction très attendue permet de gérer le NAT sur les VPN de service, et permet notamment de gérer des recouvrements d’adresse entre les sites. Cette fonction était disponible sur les vEdges.
Sécurité
- Transport des SGT – La micro-segmentation à base de SGT (Security Group Tags) est au cœur des réflexions de nombreux clients, notamment sur des architectures SD-Access. Cette fonction permet de transporter les SGT entre plusieurs sites grâce au SD-WAN. On avance encore d’un cran dans notre stratégie multi-domaines.
Expérience applicative
- QoS adaptative – Permet d’adapter le shaper vers le WAN en fonction de la bande-passante réellement disponible. C’est particulièrement intéressant sur les liaisons pour lesquelles le débit n’est pas maîtrisé (LTE par exemple)
- SD-AVC cloud connector – SD-AVC est une architecture de reconnaissance applicative qui repose sur un contrôleur, au-delà des capacités DPI intrinsèques des équipements. Ce contrôleur (intégré au vManage) va pouvoir partager sa connaissance d’applications et les distribuer sur les routeurs. Il s’enrichit par configuration et peut s’interfacer avec le cloud pour récupérer en temps réel les descriptions des applications O365. Il devient possible grâce à cette fonctionnalité d’avoir un traitement plus fin et dynamique des applications cloud sans avoir à mettre à jour les protocol-packs des routeurs. L’architecture SD-AVC va agrandir le champ des possibles dans les prochaines releases, et permet dès à présent des benéfices immédiats :
- Gestion granulaire des applications O365 dans Cloud onRamp for SaaS – permet ici d’activer Cloud onRamp for SaaS uniquement pour un sous-ensemble des applications O365.
- Applications custom – Rendu possible grâce à SD-AVC, on peut maintenant directement définir les applications internes, et agir directement sur les noms d’applications (policy/reporting). Au préalable on arrivait toujours à nos fins en jouant sur IP/port/DSCP. Cela va simplifier les choses même si la part de ces applications continue de diminuer.
- AAR pour le multicast – AAR (Application-Aware Routing) permet de router les applications sur les liens ayant une qualité suffisante pour assurer leur fonctionnement. Disponible sur le trafic unicast depuis toujours, AAR peut maintenant être utilisé pour les applications multicast.
- AAR support 6 SLA-classes – Légère augmentation du nombre de SLA Classes activables au sein d’une policy (4 initialement). Cela permet d’avoir 6 traitements différenciés car toutes les applications n’ont pas les mêmes besoins.
Services
- Support des fonctions de communications unifiées – C’est la force principale de Cisco : intégrer des technologies. Sur ce point nous avons de quoi faire car nous sommes présents sur tous les aspects de l’IT. De la même manière que nous avons intégré nos fonctions de sécurité, nous avons commencé à intégrer nos fonctions de communications unifiées qui étaient déjà intégrées sur les ISR.
A nouveau je n’ai listé ici que les nouveautés qui me semblent les plus importantes, vous retrouverez toutes les informations sur les release notes officielles. Je rappelle que nous avons aussi de nombreuses nouveautés sur les routeurs vEdge pour cette version 20.3 que je n’ai pas listées ici. Rendez-vous sur les release notes des vEdges pour plus d’informations.
Et comme toujours n’hésitez pas à poster vos réactions, questions, remarques ci-dessous !