Cisco France Blog

Nouveautés Catalyst switching – IOS-XE 17.3

4 min read



Je poursuis avec les nouveautés de la 17.3 côté Catalyst switching. Là aussi pas mal de nouveautés sur toute la gamme mais n’allons pas trop vite… Je voudrais commencer par rappeler comment fonctionnent les versions d’IOS-XE. Nous avons 3 versions par an (une tous les 4 mois) et la version d’été est une version “Extended Maintenance Release (EMR)” avec un support sur 36 mois (contre 12 mois pour les versions intermédiaires). On pourra aller chercher les nouveautés sur les versions standard tout en tachant de se greffer sur une version EMR dès que cela est possible. La version EMR offre aussi l’avantage de supporter les patchs et l’ISSU (In-Service Software Upgrade).

En pratique chaque version aura évidemment des maintenance rebuilds pour corriger d’éventuels bugs et des PSIRT rebuilds pour corriger des failles de sécurité. L’arbre ressemble donc davantage au modèle ci-dessous:

Regardons maintenant ce qui est nouveau avec cette version IOS-XE 17.3.1. Il faut noter une  grande homogénéité entre les différentes plateformes Catalyst permise par l’utilisation d’un même ASIC UADP sur tous les modèles. Evidemment il subsiste quelques différences liées au hardware et aux réels besoins exprimés.

Haute-dispo / convergence

  • OSPFv2 LFA et EIGRP LFA – L’IGP va pré-calculer un “next-best” qui pourra être utilisé immédiatement en cas de perte d’une interface. Cela permet un reroutage immédiat sans attendre la convergence de l’IGP. Evidemment faut-il que ce next-best soit possible sans créer une éventuelle boucle de routage. On parle bien de LFA – Loop-Free Alternate (Disponible sur Catalyst 9400, 9500H et 9600).
  • OSPF NSR (Non-Stop Routing) – Ici on veut pallier une perte de l’élément actif dans un équipement redondant (perte d’une carte de supervision dans un châssis ou perte du switch actif dans un stack). Avec NSR tous les états de routage sont dupliqués vers l’élément en hot-standby qui peut immédiatement reprendre le relais en cas de problème. On veillera à bien faire la différence avec NSF (Non-Stop Forwarding où l’élément standby part vierge d’états, et s’appuie sur ses voisins pour recréer ses états sans impact sur le trafic)
  • Redondance LACP 1:1 et dampening – Ici on va créer un Etherchannel avec une seule interface active, l’autre prenant le relais immédiatement en cas de problème. Des délais sont configurés pour éviter tout flapping. Cela permet pour certains designs spécifiques un contrôle plus déterministe des interfaces utilisées sur le réseau tout en conservant l’intérêt d’un agrégat de liens.
  • PoE port priority fin sur Catalyst 9400 – Quand il n’y a plus assez de puissance pour alimenter tous les ports/cartes, il est possible d’avoir une gestion plus granulaire des priorités en coupant le PoE en priorité sur certaines interfaces, avec une extinction linecard après linecard pour une granularité optimale.

Core routing

  • VPLS IRB pour IPv6 – Permet de combiner un bridging VPLS et un routage IPv6 sur un même équipement
  • MVPNv6 – Support du multicast IPv6 dans des L3VPN MPLS
  • MPLS VPN – Inter-AS Option AB – Permet d’utiliser l’option AB pour interconnecter 2 réseaux VPN. L’étanchéité entre VPN est conservée grâce à des VLANs mais un seul peering BGP suffit pour échanger les routes entre les réseaux (contrairement à l’option A qui requiert un peering BGP par VLAN)
  • Optimisations VXLAN-EVPN – Le VTEP (leaf) peut optimiser le forwarding ARP quand ce dernier connaît la destination. Le broadcast est converti et directement envoyé vers la destination. Un rate-limiting peut aussi être configuré pour le trafic BUM afin d’éviter d’impacter le core.
  • MPLS QoS – Support de la QoS basée sur le champ MPLS EXP.

Sécurité

  • MACsec sur ports des sup du 9400 – Permet un chiffrement des liens connectés sur ces sup (AES 128 ou AES256), y compris sur le SVL (Stackwise Virtual Link), agrégat de lien qui permet de créer le châssis virtuel SWV (StackWise Virtual)
  • PVLAN sur trunks et port-channels – Permet d’intégrer un serveur avec des machines virtuelles dans un PVLAN.
  • Amélioration du logging des SGACL – En tirant profit de la technologie Netflow on arrive à améliorer le logging pour avoir toujours plus de visibilité sur les SGACL (Security-Group ACL)
  • Intégration AD pour le connecteur Umbrella – Les Catalyst 9200 et 9300 supportent un connecteur avec la plateforme Cisco Umbrella de sécurité web dans le cloud. Cela peut être très adapté pour ajouter une couche de sécurité très efficace sur des sites où l’on ne peut pas configurer le routeur (quand le WAN est managé par exemple) Cette intégration avec l’AD permet d’assurer un niveau de protection adapté et différencié pour chaque utilisateur.

Programmabilité

  • gNMI – Simplification des opérations – Cette API de configuration offre l’avantage de pouvoir utiliser un payload optimisé (JSON et protobuf par exemple) et d’avoir une sécurisation maximale des échanges via certificat (gNMI utilise gRPC comme transport). Cette version apporte des fonctions gNOI (gRPC Network Operations Interface) pour permettre par exemple la gestion simplifiée de ce certificat sur les équipements réseau.
  • Publication des data models – Vous les trouverez sur GitHub. Cela vous aidera pour créer vos prochains scripts!

Autres

  • Support du contrôleur Wi-Fi embarqué en mode non-fabric – Cette fonction de contrôleur Wi-Fi était déjà disponible pour la solution SD-Access. Le support est maintenant étendu pour un déploiement Wi-Fi traditionnel. Le scale pouvant aller jusqu’à 200AP et 4000 clients sera parfait pour des sites distants, même importants (Catalyst 9300, 9400, 9500 non-H)

Evidemment je n’ai pas pu tout lister dans cet article. Il y a aussi énormément de fonctionnalités en Controlled Availability pour les plus téméraires qui voudront bénéficier très vite de l’innovation après s’être “déclarés” pour obtenir le support ad-hoc: Segment Routing, mLDP, Wired Sensors, … Rapprochez-vous de votre équipe de compte ou votre partenaire Cisco pour en savoir plus! Cette stratégie nous permet de suivre de plus près les usages de ces nouvelles technologies et de réagir plus rapidement en cas de difficultés.

Vous trouverez les détails du support de cette version 17.3.1 dans les release notes officielles, classées comme d’habitude par famille de commutateurs:

@JeromeDurand

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire