On a tous à un moment été épaté devant un équipement réseau montrant un uptime de 15 ans, non sans une certaine admiration de la fiabilité du matériel… Mais est-ce bien raisonnable ? Quelle tête feriez-vous si vous appreniez que votre parc informatique n’a pas été patché ou mis à jour depuis 15 ans ? Certes on sait depuis longtemps appliquer des bonnes pratiques pour protéger les équipements réseau mais conserver un parc raisonnablement à jour restera toujours une protection supplémentaire contre les menaces toujours plus présentes et qui utilisent également les équipements réseau pour se propager.
SWIM (SoftWare Image Management) est une des nombreuses applications de Cisco DNA Center conçue pour simplifier les mises à jour, fiabiliser le process d’upgrade, et surtout vous permettre d’avoir un parc qui est conforme à votre stratégie logicielle.
Est-ce que votre image est en or ?
Derrière cette question, on comprend vite toute la logique de SWIM. Rappelez-vous bien qu’il est question d’Intent-Based Networking et que c’est bien l’intention qui compte ! Vous allez devoir déclarer l’image validée pour chaque famille d’équipement, on parle de Golden image. C’est la cible que vous donnez (l’intent). Vous pouvez faire votre choix en vous appuyant sur les recommandations de Cisco et télécharger directement les images sur Cisco DNA Center depuis cisco.com.
Évidemment on peut faire des exceptions par site, par position dans l’architecture (accès, distri, core…) mais on peut faire simple avec des choix globaux. Dans l’exemple ci-dessous j’ai déclaré une version IOS-XE 17.3.3 uploadée via la GUI comme image de référence pour tous les Catalyst 9300 en France.
Une fois que votre image est marquée comme “Golden image”, Cisco DNA Center va mettre en évidence les équipements qui ne sont pas conformes par rapport à votre intention, c’est-à-dire les équipements dont l’image n’est pas à jour.
La raison de la non-compliance est clairement indiquée.
Un menu dédié “Software Images” permet également de rapidement mettre en évidence tous les équipements qui ne sont pas à jour dans l’inventaire (un seul équipement non conforme dans mon lab)
Ce sera ensuite à vous de décider pour chaque équipement quand vous voudrez faire les upgrades pour revenir en conformité. Il suffit de sélectionner les équipements concernés et de lancer l’upgrade.
A ce moment on peut choisir quand télécharger l’image sur l’équipement, et quand l’activer. Cela peut permettre à une équipe d’architecture de définir la cible à atteindre et d’avoir ensuite des équipes opérationnelles qui déroulent les upgrades dans les créneaux horaires désirés, dans la lignée des organisations ! La différence : tout est intégré dans l’application et SWIM s’occupe de tout.
Pre-checks – post-checks
Une des grandes forces de SWIM est de fiabiliser le process d’upgrade, en faisant de multiples vérifications avant et après les différentes étapes (on parle de pre-checks et post-checks).
Vous pouvez rajouter les checks selon vos besoins. Par exemple ci-dessous je peux vérifier l’état de mes adjacences OSPF avant et après l’upgrade…
Si l’on a 10 adjacences OSPF avant l’upgrade et aucune après, c’est qu’il y a manifestement un problème. On voit bien l’intérêt de ces checks : même si vous avez l’impression que tout s’est bien passé côté upgrade, parce que l’image est proprement installée et que l’équipement fonctionne, ces checks vous permettront d’automatiser des vérifications essentielles selon vos critères.
Upgrades mais aussi patchs !
Des patchs (appelés SMU) peuvent être mis à disposition sur software.cisco.com pour une version donnée. Ces patchs permettent de corriger des problèmes sans avoir à remettre à jour tout operating system. Cette modularité est l’un des nombreux avantages d’IOS-XE.
Quand un SMU est disponible, Cisco DNA Center vous indique qu’un “add-on” est à disposition dans l’application SWIM.
Ensuite vous pouvez simplement demander le téléchargement de cet add-on depuis cisco.com. Une fois le SMU importé, vous pourrez le taguer “golden” également et suivre le process d’upgrade habituel. Selon le type de SMU un reload peut ou ne pas être nécessaire, cela dépend du type de correctifs apportés.
ISSU pour un upgrade sans impact
Que ce soit pour un équipement en stackwise-virtual ou un chassis Catalyst 9400/9600 avec double sup, vous pouvez faire un upgrade sans interruption de service appelé ISSU (In-Service Software Upgrade). Il faut bien comprendre qu’ISSU permet une mise à jour sans coupure du software mais aussi des ASIC programmables. Cela passe par un séquencement précis des upgrades des systèmes redondants.
Un ISSU peut être également managé depuis Cisco DNA Center. C’est une simple option au moment de l’upgrade (enable/disable ISSU). Cisco DNA Center aura préalablement téléchargé la matrice de compatibilité ISSU entre les images pour s’assurer en amont que les chemins d’upgrades sont validés.
1000 upgrades en 1H
SWIM fonctionne et offre le scale nécessaire pour les réseaux d’entreprise. Nous avons validé la capacité d’upgrader 1000 devices en une heure. C’est bien la rapidité qui est nécessaire quand il s’agit de réagir face à une nouvelle menace.
Intégré avec dans l’écosystème
Cerise sur le gâteau vous pouvez complètement intégrer cette gestion d’upgrades avec d’autres outils comme ServiceNow. Tout cela fera l’objet d’un prochain article.
Références: