Ceux qui ont déjà déployé Cisco DNA Center se demandent très certainement pourquoi je fais ce type d’article : ils ont depuis déjà quelques jours vu sur la GUI une notification et une bannière expliquant les nouveautés, proposant d’upgrader en quelques clics !
C’est l’intérêt du “cloud tethering”, si le service est rendu on-prem sur l’appliance Cisco DNA Center, la connexion au cloud permet de simplifier les upgrades et d’enrichir les services simplement (récupération des images IOS, liste des PSIRTs, base de connaissance pour DNA Assurance…)
Mais pour ceux d’entre vous qui n’ont pas encore l’accès à Cisco DNA Center et qui préfèrent mes résumés en français aux release notes officielles (il faudra lire celles des versions 2.2.1 et 2.2.2), voici un aperçu de ce qui est ajouté dans cette nouvelle version par rapport à la dernière version 2.1. Évidemment toutes ces nouveautés sont déjà pré-intégrées dans les licences DNA existantes. C’est tout l’avantage du modèle de souscription : vous bénéficiez automatiquement des innovations DNA Center et nous scellons ainsi un réel partenariat technologique.
Nouveautés Système
- On a largement augmenté le scale en termes de endpoints/interfaces sur l’appliance XL. Attention donc à perdre vos réflexes et à vous référer à la nouvelle documentation.
- Possibilité de connecter l’appliance au réseau en LACP pour améliorer la redondance d’un nœud.
- On avait déjà le support du disaster recovery permettant automatiquement de redonder un cluster de 3 appliances. On bénéficie maintenant du disaster recovery en 1+1. Une appliance peut ainsi être redondée par une seconde appliance sur un autre data center. Attention ne pas confondre la redondance offerte par le mode disaster recovery et la haute disponibilité permise par le clustering.
- Accélération de la configuration initiale vous permettant de commencer à utiliser l’appliance dans les 20 minutes qui suivent son déploiement. Les packages sont pré-installés et seuls les paramètres réseau sont changés au moment de la configuration intiale.
Intégrations
- Possibilité de télécharger automatiquement l’agent ThousandEyes. Vous savez qu’il est possible de faire tourner cet agent sur les commutateurs catalyst 9000 et que les licences ThousandEyes sont intégrées dans les licences DNA Advantage. Cisco DNA Center est là pour vous aider à installer l’agent et vous aider à bénéficier de notre solution d’observabilité.
- Intégration de Firepower Management Center (FMC). Vous pouvez ainsi créer des profils de configuration que vous pourrez ainsi disposer sur les firewalls FTD et ASA (déjà supporté)
- Intégration native avec Cisco DNA Spaces pour la localisation des clients Wi-Fi, des rogue APs et tout équipement qui créerait des interférences.
Nouveautés Sécurité
- Nouvelle fonction très attendue Cisco AI spoofing Detection qui permet de repérer quand un terminal connecté au réseau ne se comporte pas normalement, et déclencher d’éventuelles remédiations. Cette fonction complète Cisco AI Endpoint Analytics que je vous avais présenté dans cet article.
- Update automatique des règles de profiling des terminaux connectés au réseau. Cela aide la solution Cisco AI Endpoint Analytics a profilier les équipements de manière toujours plus précise.
- Workflow de configuration de la solution de sécurité cloud Cisco Umbrella sur Catalyst 9200 et 9300 (déjà disponible préalablement pour le Wi-Fi)
- Possibilité de configurer les domaines internes pour la solution Cisco Umbrella (qui ne seront de se fait pas redirigés vers le cloud)
Compliance
- Possibilité de voir les changements de configuration entre 2 dates (pas seulement entre 2 archivages successifs)
Automation non-wireless
- Support du plug and play pour la récente appliance de télémetrie TTA que je vous avais présentée dans cet article.
- Support du plug and play en IPv6 pour les routeurs et les switches.
- Mise à jour constante des matrices de compatibilité ISSU pour l’automatisation des upgrades sans impact sur le service.
- Support d’IPv6 pour l’application-hosting
- Dissociation du téléchargement des IOS depuis sofwtare.cisco.com et du marquage en golden release.
Automation wireless
- Support des nouveaux AP Wi-Fi6 outdoor 9124AXE
- Support étendu également aux Catalyst 9105AX
- Workflow simplifié pour configurer des paramètres spécifiques à un AP ou à une radio. Ici je vous encourage également à regarder de près car vous pouvez changer beaucoup de paramètres très simplement via quelques clicks sur Cisco DNA Center (nom de l’AP, radios, …)
- Configuration customisée des serveurs AAA par SSID par site (jusqu’à 6) pour les SSID enterprise et guest.
- Possibilité de définir des règles customisées pour tout ce qui est détection d’AP rogue.
- Nouvelles signatures aWIPS.
- On supporte depuis la 2.1 la fonctionnalité AP RMA qui permet d’automatiser le remplacement d’un AP par un autre. Mais voilà il pouvait arriver que tout ne se passe pas bien du premier coup (fausse manipulation, mauvaise installation…). On vous permet maintenant en 2.2 de retenter votre chance plusieurs fois.
- Possibilité d’upgrader un contrôleur Wi-Fi pendant la phase Plug-and-play.
- Support d’IPv6
- Configurations avancées pour une customisation 802.11ax complète
Assurance
C’est toujours très compliqué de lister toutes les évolutions sur Assurance tant il y en a. Globalement tous les dashboards, rapports sont améliorés et enrichis. Je ne liste ici que quelques changements, pour le reste je vous encourage à tester et à faire l’expérience des nouveautés.
- Support d’IPv6 pour simplifier le troubleshooting
- Possibilité de définir un proxy dans les sensors
- On vous indique s’il y a des inconsistances entre les configurations de 2 équipements interconnectés (inventory insights)
Nouveautés Cisco SD-Access
- Customisation des numéros de VLAN utilisés. Cela vous permet ainsi de plus facilement intégrer SD-Access dans un réseau existant. Vous pouvez connecter des switchs L2 derrière un Edge Node SD-Access et être en parfaite maîtrise des VLANs utilisés. Je ferai prochainement un article pour vous en dire plus sur toute cette souplesse apportée dans les modes de déploiement de SD-Access.
- Support d’un daisy chaining sur les extended nodes et policy extended nodes afin d’étendre la fabric toujours plus facilement.
- Support du chiffrement MACsec dans la fabric pour les liens entre switchs, ainsi que de switch à host. Cela se fait via template
- Augmentation du scale (nombre de VN et d’IP pools supportés)
- Possibilité de mieux customiser les serveurs AAA, notamment pour permettre d’utiliser des serveurs distincts pour tout ce qui est SSID Guest.
- Visibilité des statistiques des policies appliquées. Possibilité de customiser la vue de ces statistiques pour mieux analyser les flux du réseau.
- Support des switchs Catalyst 9000 en mode stackwise-virtual, y compris quand ils jouent le rôle de contrôleur Wi-Fi (9500 et 9400)
- On supporte maintenant les nouveaux Cisco Catalyst micro switchs et les IE-3300-8U2X comme extended nodes.
- Beaucoup d’amélioration également dans les fonctions assurance liées à SD-Access : cela permet de bénéficier de nouvelles alarmes et de nouvelles informations dans les dashboards.
Divers
- Possibilité de faire des recherches sur les adresses IPv6. Très pratique pour rapidement trouver des infos pour un terminal à partir de son adresse IPv6.
- Possibilité de définir vos propres labels pour catégoriser vos équipements. Vous pouvez évidemment pour chaque label (par exemple “rack-number”) spécifier les valeurs attribuées à chaque équipement (par exemple “rack1”, “rack2″…)
- Pas mal de nouveautés sur le smart licensing avec notamment le support du Enhanced Smart Licensing qui simplifie encore les opérations : Cisco DNA Center va vous aider à comptabiliser les licences utilisées et à les remonter au portail CSSM. On a globalement beaucoup de nouveautés sur le licensing je vous encourage à regarder précisément les release notes si c’est une problématique pour vous aujourd’hui.
- Un nouveau dashboard “usage insights” va vous aider à déterminer le ROI de l’installation de l’usage de Cisco DNA Center dans votre réseau.
Je vous avais prévenu qu’il y en avait beaucoup… et encore je vous ai épargné plus de la moitié des nouveautés. N’hésitez pas à regarder les release notes des versions 2.2.1 et 2.2.2 pour avoir tous les détails.
2 commentaires
Bonjour Jérôme,
Merci pour ce résumé de nouveautés. Pas mal de choses intéressantes, on se réjouit de voir le produit devenir plus mature.
2 questions:
– "Augmentation du scale (nombre de VN et d’IP pools supportés)" –> cela concerne tous les types d'appliance DNAC ou seulement la XL? A-t-on le nombre exact de VNs et d'IP Pools supportés?
Dans la RN, on a la petite note "A single site can max out the IP pools supported. ". As-tu plus de précisions?
– Le workflow de RMA pour les switches LAN Automated est-il supporté dans cette nouvelle release?
Merci.
P.S.: petite faute de grammaire dans le paragraphe "Nouveautés Système" ("dans les 20 minutes qui suivent sont déploiement.") 😉
Sylvain.
Bonjour Sylvain C 🙂
Merci pour ton message. Oui ca avance très vite on a presque du mal à suivre! On adresse toujours plus de use cases et on gagne en profondeur.
Le scale est documenté dans la datasheet publique (https://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/dna-center/nb-06-dna-center-data-sheet-cte-en.html) Tu y trouveras le nombre de VN et d'IP pools supportés pour SD-Access.
Je reprends certains éléments ci-dessous:
For three-node DN2-HW-APL-XL only, release 2.2.2.3 or later, capacity is increased as follows:
Number of concurrent endpoints increases to 200,000.
Number of transient endpoints increases to 500,000
Total port support is 1,500,000, of which 480,000 are physical ports and 1,020,000 are logical ports.
On a aussi le scale package pour SWIM qui permet d'upgrader 1000 devices en une heure.
Concernant la petite note, il faut comprendre que les lignes peuvent bouger selon les designs. On peut valider avec le SDA design council des exceptions. Ce n'est pas la meme chose de gérer 200 Edge Nodes distants de 200ms que de gérer 50 Edge nodes distants de 3ms. On a pris en compte le pire scenario pour le scale mais on peut aussi faire des exceptions motivées quand c'est possible.
Le workflow RMA automatisé pour les switchs LAN Automated n'est pas supporté en 2.2.2 (un RMA 1-touch est prévu dans la prochaine release). Mais rassure toi on sait quand meme faire des RMA aujourd'hui pour les équipements LAN Automated, c'est juste que le process n'est pas automatisé!
Merci pour la faute de grammaire, ça m'a fait mal de voir une telle horreur, elle est corrigée 🙂
A bientot!