Cisco France Blog

NetOps, SecOps, DevOps, AIops… Cisco DNA Center 2.2.3 pour tous!

6 min read



Le rythme d’innovation sur Cisco DNA Center continue d’être très soutenu. Et comme il ne suffit que d’un click pour upgrader depuis la GUI, vous pouvez très rapidement bénéficier de chaque nouveauté. Je rappelle d’ailleurs que si la release 2.2.3 est sortie au mois d’Août, il peut se passer quelques semaines encore avant que l’upgrade ne vous soit proposé. En effet les nouvelles versions sont d’abord proposées aux clients qui se sont enregistrés comme volontaires. Ci-dessous un aperçu des nouveautés, vous ne manquerez pas de vous référer aux release notes pour avoir tous les détails. Des questions ? Des commentaires ? N’hésitez pas à réagir à cet article !

 

NetOps (DNA Automation)

 

  • Amélioration du menu d’inventaire pour pouvoir visualiser simplement les états des switchs et réaliser rapidement des actions de modification : configurer un VLAN, changer une description, shut/no shut, clearer les MAC associées à un port…
  • Toujours dans l’inventaire on a un accès direct aux différences de configuration pour valider que les éléments renseignés sur Cisco DNA Center sont correctement configurés sur l’équipement.
  • Simplification de la gestion des templates avec la possibilité de réaliser des simulations y compris pour des templates “composite” (qui groupent plusieurs templates) On vous épargne aussi la liste à la Prévert de tous les équipements Cisco en vous permettant de ne lister que ceux de votre choix. Autre élément sympa, on propose une “auto-completion” pour les variables internes dans la GUI.
  • Côté compliance, Cisco DNA Center vous propose de remédier aux écarts entre running- et startup-configuration en faisant une sauvegarde sur le ou les équipement(s) concerné(s).
  • Côté SWIM (SoftWare Image Management – Application DNAC de gestion des upgrades logiciels) on peut maintenant ne garder sur la flash des équipements que la version en cours et préserver la place pour des futurs upgrades. Les anciennes versions sont automatiquement supprimées si vous le demandez.
  • Toujours avec SWIM, on supporte maintenant les upgrades ISSU pour les routeurs ASR1000.
  • SWIM supporte des images distribution servers depuis peu, afin de stocker les images au plus près des équipements réseau et éviter de surcharger le WAN. On peu maintenant customiser le protocole de transfert de fichier pour ces distribution servers (HTTPS, SCP, SFTP, faites votre choix mais il doit y avoir un S dans le nom du protocole !)
  • Côté wireless, on supporte maintenant les antennes C-ANT9104 utilisées pour les stades et autres environnements d’envergure. Ce sont ainsi de nombreux sites publics qui vont pouvoir bénéficier des services de Cisco DNA Center (notamment avec DNA Assurance et la compréhension fine des problématiques dans ces déploiements très spécifiques)
  • Workflow de configuration pour la sonde DNA Traffic Telemetry Appliance (TTA). Cela active SPAN ou ERSPAN sur les équipements concernés pour rediriger le trafic vers la sonde qui va faire une analyse fine du trafic et mieux isoler les problèmes de performance.
  • Capacité de créer des credentials au niveau d’un site (il fallait au préalable les configurer globalement et sélectionner les sites sur lesquels ils étaient utilisés).
  • Support d’AES256 pour SNMPv3 (on supprime le support de DES qui n’offre pas une sécurité suffisante)
  • Capacité de renommer rapidement tout un ensemble d’AP (en définissant une convention de nommage ou via l’import d’un fichier CSV)
  • Capacité de désactiver les clients qui utilisent des adresses MAC générées aléatoirement.
  • Configuration du profiling radius, ce qui permet d’envoyer au serveur radius les caractéristiques des équipements connectés via des messages radius accounting (Device Sensor)
  • Capacité d’ancrer un SSID Enterprise (initialement on ne pouvait ancrer que les SSID Guest)
  • Support des réseaux Wi-Fi MESH, et configuration du RLAN.
  • En Flexconnect, on peut activer le AAA override pour les VLAN et on supporte aussi les overlaps d’adresses IP.
  • Support des switchs industriels IE 3300 et 3400 dans l’application QoS policy (qui s’appelait initialement Application Policy).
  • Côté gestion des licences, on a maintenant accès à des rapports d’utilisation et des alertes en cas de non-compliance. On supporte plusieurs Smart Accounts et on peut spécifier un FQDN pour le CSSM on-prem (aussi connu sous le nom de satellite).
  • Possibilité de supprimer les endpoints de l’inventaire quand leur nombre atteint les limites de scalabilité de Cisco DNA Center (notamment en raison d’un nombre de guests trop important).
  • Détection des attaques wireless (aWIPS) basées sur les requêtes 802.11 CTS et RTS (Clear To Send / Request To Send)

 

NetOps (DNA Assurance)

 

  • Vous aimiez Path Trace ? Vous allez adorer TrueTrace! PathTrace vous permet depuis quelques années visualiser le chemin réseau entre plusieurs terminaux et voir rapidement sur chaque nœud traversé s’il y a des anomalies. TrueTrace va automatiquement démarrer une capture de paquets sur chaque nœud traversé et ainsi vous donner des informations plus détaillées. Côté troubleshooting on imagine les gains opérationnels pour trouver l’origine de problèmes de performance.
  • Un nouvel onglet Network Services a été ajouté dans DNA Assurance en plus des menus Clients / Network / Applications. L’objectif est d’avoir une meilleure visibilité sur les services réseau (DHCP, AAA…)
  • On a maintenant des maps 3D pour le wireless. Regardez cette vidéo vous allez voir ça décoiffe!
  • Côté sensors on peut maintenant tester des SSID en WPA3 et configurer un proxy pour réaliser des tests web.
  • Webex est maintenant intégré à Cisco DNA Center : les statistiques des appels sont récupérées du Webex Control Hub pour être affichées sur les dashboards 360. Est-ce un problème du réseau ou de l’application ? Encore une fois Cisco DNA Center vous aidera à trouver une réponse !
  • Les dashboards POE sont enrichis et affichent par exemple la disponibilité en POE restante sur votre réseau. On complète avec des éléments plus précis sur la consommation des équipements et le détail par interface.

 

AIops

 

  • De nouvelles ontologies (c’est-à-dire de nouvelles règles) ont été ajoutées au Machine Reasoning Engine présent sur Cisco DNA Center pour faciliter l’identification de l’origine des problèmes AAA.
  • Possibilité d’exporter les informations dans la page Network Heatmap.

 

SecOps (Sécurité, Zero-Trust et Cisco SD-Access)

 

  • Possibilité de définir des fabric zones. Cela permet de ne configurer certains subnets / VN que sur une partie du réseau. Cela vous permet d’augmenter la scalabilité globale de la fabric et d’optimiser les ressources sur des zones de votre réseau.
  • Disponibilité de LISP PubSub pour les nouvelles frabrics qui améliore la redondance de la connectivité vers l’extérieur en supprimant dans certains cas la nécessité de configurer des peerings IBGP entre Border Nodes. Pour les amateurs de détails, c’est LISP qui annonce la route par défaut, au lieu de la configuration d’un LISP PETR sur les Edge Node.
  • Nouveau workflow de configuration Cisco SD-Access pour encore plus de simplifié. Ca pose les bases de nouveaux menus qui suivront dans les versions suivantes. NETCONF est utilisé pour optimiser la configuration et améliorer les performances.
  • Vous savez qu’il est possible depuis déjà longtemps d’avoir plusieurs cluster d’appliances Cisco DNA Center associées à un même cluster ISE et répondre ainsi à des besoins de scale important. Un cluster DNAC sera maître (Author) quand les autres seront en lecture pour la gestion des policies afin de garder une l’homogénéité requise. Dans cette nouvelle version, les VN sont également propagés entre les différentes clusters DNAC pour simplifier les opérations et avoir une homogénéité également sur la macro-segmentation
  • Côté Group-Based Access Control (micro-segmentation) on dispose maintenant d’un nouveau dashboard donnant de nombreuses informations quant aux policies en place et leur impact sur le réseau. Des nouveaux rapports permettent également de visualiser ces informations.
  • Serveurs AAA distincts par SSID y compris pour les contrôleurs wireless embarqués (feature disponible depuis 2.2.2 sur les contrôleurs standards)
  • Secure AP onboarding permet dans un premier temps de connecter l’AP en MAB et de lui provisionner tous les éléments en PNP (username, private key, Device certificate, Client Certificate…). Une fois ces éléments reçus, l’AP redémarre et peut se reconnecter au réseau de manière sécurisée. Ca peut être très utile pour connecter vos AP à votre fabric SDA complètement sécurisée.
  • Côté RMA workflow (device replacement) on supporte maintenant les switchs IE configurés en Extended Nodes ainsi que les équipements configurés avec le workflow LAN Automation.
  • On intègre l’analyse des PSIRTs dans l’application SWIM de gestion des upgrades. Cela vous permet de voir pour chaque image les advisories.
  • Côté outil PSIRT on liste immédiatement pour chaque annonce la release qui corrige le problème découvert. Cela vous permet là aussi de mieux planifier vos upgrades.
  • Support des contrôleurs Catalyst 9800 dans l’application Security Advisories pour vérifier automatiquement d’éventuelles compromissions.
  • Endpoint Analytics s’enrichit avec Trust Analytics, qui permet de vérifier le bon comportement des endpoints connectés au réseau. On va ainsi pouvoir détecter les équipements connectés derrière du NAT, les connexions multiples et les équipements dont le profiling change de manière suspecte. L’objectif est de détecter des tentatives de connexion suspectes ou des usurpations d’adresse MAC (spoofing) et d’éventuellement déconnecter les endpoints concernés selon leur trust score.
  • Support du Device Unique Identifier pour identifier les équipements à la place de leur adresse MAC quand l’adresse MAC est générée aléatoirement.

 

DevOps (Cisco DNA Center Platform)

 

  • Support des API pour le module QoS Policy (précédemment nommé Application policy). Cela vous permet de programmer le déploiement de la QoS simplement via des objectifs business : c’est Cisco DNA Center qui construira les configurations ad-hoc.
  • Nouvelles API pour la gestion des licences

 

Références

 

 

@JeromeDurand

 

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire


2 commentaires

  1. Bonjour,

    Une nouvelle fois, merci pour ce résumé, c'est bien utile.

    Je ne vois pas dans la RN la fonctionnalité qui était appelée 'VLAN-based L2VNI' et qui était en beta en 2.1.2.4 avant d'être retirée dans les versions plus récentes.
    Ayant accès à un DNAC 2.2.3.0, je vois cette feature disponible ("Layer 2 Virtual Networks").
    A-t-on un document qui détaille un peu plus le fonctionnement, les exigences et les limites de cette feature?

    Bonne journée,
    Sylvain.

    • Jerome Durand

      Bonjour Sylvain!

      Je vois qu'il y a des gens pointus et qui suivent très bien… il va falloir que je fasse attention à ce que je raconte 🙂 En effet en 2.1.2 on a rajouté les VLAN-based L2VNI en feature mais ce n'était pas en GA (cad General Availability). En gros il fallait utiliser après discussion/validation avec le design council. Cela nous a permis de repérer quelques petites choses à améliorer/modifier d'où les changements que tu as pu voir.

      La feature va rester encore en disponibilité contrôlée dans la 2.2.3 et va devenir GA rapidement dans les prochains rebuilds, à ce moment la documentation va être publiée. Je t'encourage donc à travailler avec nous si tu as besoin de cette fonctionnalité à ce stade pour sécuriser un peu les choses et comprendre les éventuelles restrictions.

      Pour rappel, l'idée de cette feature est d'avoir une fabric qui reste purement L2 (sans IP dans les subnets) et de faire porter la GW par des équipements distants en dehors de la fabric (par exemple un FW). Ca peut aider pour les migrations (voir mon article récent sur ce sujet) mais ca ne doit pas être le mode de déploiement à privilégier, le L2 ayant toujours plus créé que résolu des problèmes!

      N'hésite pas a me contacter directement pour avancer sur ce sujet.

      A bientot!