La version 2.1 de Cisco DNA Center est maintenant disponible publiquement. Plus exactement c’est la release 2.1.2.4 qui a obtenu le statut GA (General Availability). Vous aurez peut-être constaté cette nouvelle bannière sur votre appliance, vous proposant en quelques clicks de basculer dans la nouvelle version.
Le nombre d’améliorations est juste hallucinant et on comprend bien la puissance d’une approche “plateforme”. Cisco DNA Center permet d’innover rapidement via une architecture modulaire en micro-services : les fonctionnalités sont délivrées dans des containers Docker distincts avec une orchestration kubernetes. A chaque fonction son package, qui s’upgrade simplement depuis le cloud comme vous le faites au quotidien sur votre smartphone.
Le mode de souscription DNA montre à nouveau tout son intérêt : chaque client existant bénéficie automatiquement de toutes les nouvelles innovations car ces elles sont intégrées dans les offres existantes (Essential, Advantage, Premier). Regardons ce qui est inclus dans cette version, vous verrez qu’on est bien au-delà d’un simple next-gen NMS. Je ne listerai ici que les fonctionnalités principales. Consultez les release notes pour plus d’informations. Je rappelle aussi que j’ai récemment publié une vidéo pour présenter ces nouveautés, démos à l’appui. Vous n’avez donc plus d’excuses si vous ne savez toujours pas ce qui est dans cette nouvelle version majeure. Révisez bien, interro à la rentrée !
Automation
- SWIM (SoftWare Image Management) s’améliore et vous permet de spécifier des serveurs de fichiers différents par site, permettant aux équipements sur un site d’aller télécharger les images au plus près sans encombrer le WAN.
- Les CLI templates offrent maintenant le support du langage Jinja (en plus de Velocity précédemment supporté). Pour tous ceux qui ont besoin d’un maximum de flexibilité dans les configurations vous avez tout ce qu’il vous faut.
- Capacité de provisionner les WLC Catalyst 9800 en Plug-and-Play.
- Gestion des RMA sur les AP pour aider au remplacement d’un AP défectueux.
- Dans le même esprit, des workflows vont automatiser le changement d’AP. Il vous suffit d’indiquer quel nouvel AP (AP Wi-Fi 6 a priori !) remplace quel AP existant et Cisco DNA Center s’assure de faire la migration de configuration.
- Support d’un WLC Catalyst 9800 “brownfield”. Peu importe que le catalyst 9800 ait eu une vie avant Cisco DNA Center, il peut être intégré dans l’inventaire et managé.
- On introduit le Model Config Editor. On avait déjà les workflows Intent-Based avec l’abstraction maximale, et des templates CLI pour customiser au maximum. Ces “Model Configs”se situent un peu entre les 2 et permettent de rajouter de la customisation via des menus simples. Pour le moment ils n’existent que pour le wireless mais cette logique sera évidemment étendue dans le futur.
- On améliore encore l’automatisation du smart licensing avec par exemple la possibilité de spécifier un satellite ou encore d’utiliser DNA Center comme proxy. Mes premiers articles de 2021 devraient adresser ce point dans le détail.
Assurance
- Application health est maintenant supporté sur les WLC Catalyst 9800 et la Cisco DNA Traffic Telemetry Applicance en plus des routeurs qui offraient déjà cette fonction. Une analyse fine du trafic permet de comprendre l’origine des problèmes de performance (LAN, WAN, application…) L’idéal pour vite se dédouaner quand le problème est ailleurs !
- POE analytics vous donne des dashboards sur la consommation de vos end-points, et vous remonte les anomalies rencontrées.
- La fonction Wi-Fi 6 readiness vous montre l’état de votre parc (AP / Clients) qui sont prêts pour le Wi-Fi 6, avec les gains associés au dernier standard 802.11ax.
- La gestion télémétrie est maintenant complètement intégrée au menu global de provisioning. L’application ad-hoc est supprimée.
- Support Intelligent Capture sur les AP Catalyst 9130, les Catalyst IW6300 Heavy Duty Series APs, et les Catalyst ESW6300 Embedded Services APs. La fonction Realtime FFT vous permet de voir l’environnement RF en temps réel, avec possibilité de zoomer dans certains channels sur le graphique montrant d’analyse spectrale.
- Support de aWIPS (Adaptive Wireless Intrusion Prevention System) pour avoir les rapports et dashboards sur les rogue APs et toutes les menaces sur votre environnement Wi-Fi.
- La navigation dans les dashboards assurance est augmentée à 30 jours.
- Assurance vous montre maintenant dans le détail le fonctionnement de vos stacks et vous remonte les anomalies.
- De nombreux nouveaux rapports sont disponibles. Prenez le temps de regarder les nouvelles possibilités.
- Globalement le management des devices est beaucoup plus aisé dans l’inventaire.
SD-Access et Zero-Trust
- Cisco AI Endpoint Analytics est l’une des innovations majeures de cette version 2.1, et qui vient rappeler que Cisco DNA Center est bien plus qu’une NMS. Ici on va mettre le profiling sous stéroïdes en reposant notamment sur une analyse du trafic des utilisateurs. J’avais fait un petit article il y a peu sur le sujet. Un whitepaper vous a été publié depuis et vous donnera toutes les informations utiles.
- Group Based Policy Analytics vient compléter le dispositif de segmentation. Cisco DNA Center vous offre une visualisation des flux échangés entre les divers groupes de endpoints ce qui va vous aider dans la définition de nouvelles règles de segmentation.
- Workflows de RMA en mode fabric également. Un serveur DHCP est configuré à la volée sur le nœud voisin pour permettre l’onboarding du nouvel équipement.
- Support d’une de segments en pur Layer2, avec default-gateway externe (par exemple sur un firewall). Pour tous ceux qui sont séduits par SDA mais qui doivent garder la gateway en dehors de la fabric, c’est maintenant officiellement supporté.
- Support des Catalyst 9400 et 9600 en stackwise-virtual dans la fabric SD-Access.
- Support des Catalyst 9000 comme Policy Extended Nodes. Si vous ne pouvez pas étendre la fabric jusqu’au switch d’accès, vous pouvez toujours intégrer ce dernier comme policy extended node (comme on le fait pour les switchs IE3400). Le Policy Extended Node fait remonter le trafic dans un trunk L2 jusqu’à son Edge Node de rattachement, qui va lui assurer les fonctions liées à la fabric (LISP, VXLAN…)
- IP directed broadcast est supporté sur les segments en L2 flooding et permet notamment d’utiliser le Wake on LAN.
- Support de Flexconnect sur SD-Access. Vous privilégierez bien sûr un déploiement wireless en mode fabric ou éventuellement en local mode. Ce mode peut vous rendre service dans des phases de transition.
- Multisite remote border permet de mutualiser un Border Node entre plusieurs fabric sites. Vous pouvez ainsi décider de faire sortir le trafic des guests de tous les sites depuis un unique Border Node central (avec mutualisation des IP utilisées entre les sites).
Services
- CBAR – Controller Based Application Recognition, va enrichir la reconnaissance applicative faite avec le moteur NBAR2 de Deep Packet Inspection disponible sur les équipements. Cisco DNA Center va pouvoir comparer les flux reçus des équipements avec des sources extérieures (O365, Infoblox…) pour avoir plus de précision quant à l’application associée. CBAR repose sur la technologie SD-AVC disponible depuis quelques années déjà et aussi présente sur la solution SD-WAN.
- Umbrella – des workflow permettent d’activer les fonctions de sécurité web dans le cloud supportées sur les équipements réseau.
- Amélioration des security advisories avec la possibilité de planifier des analyses et de compléter la vérification des IOS/PSIRTs avec des éléments de configuration
- Support de l’application hosting sur les AP Catalyst 9100. Cela permet d’héberger un connecteur SES-Imagotag sur l’AP pour la communication avec tous les Electronic Shelf Labels.
- Analyse de la compliance des équipements (configuration, image, sécurité, SD-Access…) Vous êtes informés dès qu’un équipement n’est pas en conformité.
- Support de User-Defined Networks (UDN) sur les réseaux Wi-Fi. Ici l’idée est de pouvoir autoriser un utilisateur de créer son réseau privé sur une infrastructure publique. Imaginez par exemple des résidences universitaires : un étudiant souhaitera peut-être connecter ses enceintes et son imprimante sur le réseau de l’université sans pour autant laisser l’accès à n’importe qui. UDN permet à chacun de spécifier les éléments de son environnement et le réseau assure la segmentation demandée.
Système
- Enrichissement du RBAC pour pouvoir créer des groupes d’utilisateurs avec des droits spécifiques.
- Changement global de la GUI. Un nouveau menu permet d’accéder directement aux nombreuses possibilités offertes par la plateforme.
- Un menu concentre tous les workflows : création de VPN, activation multicast, mise en place de services…
- Vous pouvez superviser l’état de santé de votre plateforme DNA Center via un nouveau menu system health
- Un menu system topology vous permet de visualiser tous les composants connectés à votre DNA Center (ISE, IPAM, …)
- Disaster Recovery: chaque cluster de DNAC est intrinsèquement redondé (HA). La fonction Disaster Recovery permet faire face à une perte complète d’un cluster lors d’un incident majeur. On va orchestrer la reprise des activités sur un second cluster, dans un autre datacenter, prêt à reprendre la dernière configuration sauvegardée.
- Ajout des audit logs pour pouvoir tracer les actions réalisées sur la plateforme.
Pour terminer je tiens à rappeler 2 éléments à tenir compte avant d’upgrader:
- Pour les déploiements SD-Access, tenez compte de la version recommandée sur la matrice de compatibilité.
- Avant d’upgrader c’est toujours une bonne idée d’utiliser le script AURA pour faire un petit check-up complet de la plateforme Cisco DNA Center.
Références: Release notes DNA Center 2.1.2
2 commentaires
Bonjour Jérôme,
"Support des Catalyst 9400 et 9600 en stackwise-virtual dans la fabric SD-Access."
Et pour le 9500 ce n'est pas supporté? c'est prévu?
Merci,
Cyril
Bonjour Cyril! Oui c’était en fait supporté avant. Cette version avait complété le supporté avec les 9400 et 9600.