Que retenir de cet été? Des souvenirs de vacances? Une pelouse anormalement verte? Des piqûres de moustiques? Non… Bien sûr que non! Comme chaque été il faut avant tout apprécier l’arrivée de la release EMR (Extended Maintenance Releases) IOS-XE. Cru 2023: IOS-XE 17.12. Nom de code: Dublin. Les release d’été ont une durée de vie plus longue avec plus de rebuilds (corrections de bugs et failles de sécurité). Pour l’innovation vous pouvez temporairement apprécier les releases intermédiaires de décembre et d’avril… mais pour la production vous devez au plus vite opter pour les releases d’été qui garantissent également le support des upgrades à chaud ISSU. Le schéma ci-dessous rappelle le cycle de développement IOS-XE.
Si l’on prend en compte les rebuilds, le cycle de déploiement peut se résumer avec le schéma ci-dessous.
Quoi de neuf dans cette release IOS-XE 17.12 pour nos commutateurs Catalyst? Voici un extrait des principales nouveautés. N’hésitez pas à regarder les release notes pour avoir des informations détaillées.
Nouveautés Hardware / Infrastructure
- Support de la carte C9400-LC-12QC pour Catalayst 9400 avec 8 ports 40GE et 4 ports 40/100GE (Sup2/Sup2X uniquement)
- Support de la carte C9400-LC-24XY pour Catalayst 9400 avec 4 ports 10GE et 20 ports 10/25GE (Sup2/Sup2X uniquement) Ces cartes permettent de faire évoluer des déploiements 10GE et 25GE sans changer de châssis, et remonter vers le coeur en 40GE/100GE
- La release 17.12 est aussi la première release permettant le support du 50GE sur les réseaux d’entreprise. Sur les Catalyst 9500X et 9600X (selon modèles/cartes), vous pouvez déployer des liaisons 50GE via l’utilisation de nouveaux SFP ad-hoc. Rendez-vous sur le site de support des optics Cisco pour voir les compatibilités détaillées.
- Support des débits 1GE sur les Catalyst 9500X/9600X. Ces plateformes basées sur l’ASIC Silicon One, parfaitement adaptées en coeur de réseau très haut débit, ne supportaient jusque là pas de débits inférieurs à 10GE. Avec l’IOS-XE 17.12 et les SFP SFP-1G-SX/LH, il est maintenant possible de déployer des interfaces 1GE également sur ces plateformes, offrant ainsi plus de flexibilité dans les déploiements.
- Accélération des upgrades : dans certains cas, 2 reloads étaient parfois nécessaires lors des upgrade: IOS-XE upgrade puis firmware upgrade ((ROMMON/FPGA/CPLD). Avec la 17.12 nous pouvons maintenant réaliser ces opérations en une seule fois.
- Les switchs Catalyst peuvent accueillir des applications sous forme de containers Docker (app hosting). Depuis la release 17.12 nous pouvons faire des packet captures sur les ports internes AppGigabitEthernet afin de capturer tous les paquets transitant vers les applications embarquées sur le switch (en plus des packet captures sur les interfaces traditionnelles supportées depuis la nuit des temps).
- Avec l’augmentation du scale de la performance, nous avons de plus en plus de switchs Catalyst déployés comme routeurs de peerings BGP. Depuis la 17.12 nous pouvons exporter les numéros d’AS BGP associés aux flux pour vous aider à faire évoluer votre politique de routage Internet. Côté source vous pourrez avoir l’Origin AS ou le peer-AS, et côté destination même chose vous pourrez choisir entre l’ASN de la destination ou du peer.
- Bonjour vous connaissez ? Ce protocole de découverte de services reposant sur du multicast lien-local. Si ce protocole est parfait pour trouver une imprimante ou une Apple TV sur votre réseau domestique à plat, il est inadapté en entreprise où les réseaux sont fort heureusement découpés en plusieurs subnets. La solution Wide-Area Bonjour intégrée dans Cisco Catalyst Center (nouveau nom de Cisco DNA Center) permet un fonctionnement du protocole Bonjour (MDNS) au travers de gateways IP, rendant possible l’usage de cette solution dans des réseaux d’entreprise. Des agents doivent être déployés sur des switchs pour relayer à Catalyst Center les services découverts. Catalyst Center relaiera les services en fonction des règles configurées. Depuis plusieurs années les Catalyst 9300 et supérieurs peuvent agir comme agents. Depuis la 17.12, nous supportons aussi cette fonctionnalité sur les Catalyst 9200.
Nouveautés Sécurité
- Depuis quelque temps, l’IPsec a fait son apparition sur les commutateurs Catalyst 9000X. Avec la release IOS-XE 17.12, nous avons maintenant le support du chiffrement IPsec sur le modèle 9500X-60L4D (jusqu’à 400Gbit/s de trafic chiffré)
- Support de GRE over IPsec sur 9400X, nécessaire pour le transport du multicast et donc pour le support des IGP
- D’une manière générale cette release annonce la parité entre le support d’IPsec sur Catalyst 9400X et Catalyst 9300X.
- Possibilité de rajouter un tag DSCP pour l’intégralité des paquets Radius (pas juste ceux liés à l’authentification d’un client, déjà supporté depuis IOS-XE 17.5)
Nouveautés côté fabric BGP EVPN
En plus de la solution clés-en-main Cisco SD-Access basée sur LISP, nous supportons également les fabric BGP EVPN VXLAN pour ceux qui préfèrent déployer des solutions sur mesure, en utilisant les protocoles standards. Le support de BGP EVPN est impressionnant comme vous pouvez le voir sur le schéma ci-dessous. Que ce soit sur le WAN, le MAN ou le LAN, vous pourrez compter sur les switchs Catalyst pour vous la mise en oeuvre votre fabric.
Regardons les nouveautés dans le détail:
- Support d’un underlay IPv6. Déjà présent depuis la 17.11 du printemps dernier, nous avons ajouté le support des overlays IPv4 multicast sur un transport IPv6 dans cette nouvelle release IOS-XE 17.6.
- Support de NAT64 sur une fabric BGP EVPN, pour permettre à des hosts purement IPv6 d’accéder à des ressources IPv4 après translation sur les Leaf ou Border (selon le design souhaité)
- Augmentation du scale en termes de nombre de VNI supportées (1024). Référez vous au configuration guides pour avoir les détails précis.
- Simplification de la configuration grâce à l’allocation automatique des RT (Route-Target) et RD (Route-Distinguisher). Comme vous pouvez le voir dans le schéma suivante, la simplification est bien réelle, et même si vous utilisez des scripts d’automatisation vous apprécierez.
Nouveautés côté programmabilité
Si ces notions de programmabilité ne vous parlent pas, je vous recommande de regarder le webinar Community Live que j’ai pu délivrer il y a quelques mois. J’explique assez longuement l’intérêt de ces nouveaux modes d’interaction avec les équipements réseau et pourquoi il y a autant de protocoles. N’hésitez pas à télécharger dès à présent Cisco YANG Suite pour commencer votre voyage dans le monde de la programmabilité réseau.
- Support de l’encodage PROTO pour les paquets gNMI GET/SET. Le format PROTO est optimisé notamment par rapport à JSON et pouvait être recommandé pour une télémétrie efficace (pour optimiser l’envoi de données massives depuis les équipements réseau). Quite à utiliser le format PROTO, autant le faire aussi pour les fonctions GET/SET.
- Ajout de nouveaux mappings SNMP vers YANG dans l’outil YANG Suite pour vous aider à migrer vos outils vers des langages plus modernes et plus efficaces que SNMP.
Pour aller plus loin
- Release notes IOS-XE 17.12 sur Catalyst 9600
- Release notes IOS-XE 17.12 sur Catalyst 9500
- Release notes IOS-XE 17.12 sur Catalyst 9400
- Release notes IOS-XE 17.12 sur Catalyst 9300
- Release notes IOS-XE 17.12 sur Catalyst 9200
- BGP EVPN VXLAN configuration Guide sur Catalyst 9300