Cisco France Blog
Partager
tweet

Cisco France Blog > Réseaux

Réseaux

IOS 15.2(1)SY pour Catalyst 6500 et 6800


5 January 2015

Tout d’abord meilleurs voeux à tous pour 2015! Une année qui je l’espère sera encore riche sur un plan technologique et Cisco Live en fin de mois devrait donner le ton pour 2015. Parmi les bonnes résolutions en ce qui me concerne, animer davantage reseauxblog avec des webinars (n’oubliez pas le prochain webinar la semaine prochaine avec un update cat6k), davantage d’articles et des vidéos sur la chaîne Youtube du blog.

happynewyear

Place maintenant à l’execution avec une petite explication de texte sur le dernier IOS 15.2(1)SY pour catalyst 6500/6800 sorti juste avant la trêve. Pas mal de choses concernant l’accès, instant access oblige avec une homogénéisation par rapport aux catalyst 2k, 3k et 4k (templates, autoconf, IPv6 first hop security…) A noter le support également des nouvelles cartes d’interface, et bien évidemment de nombreuses autres features. Le détail ci-après.

Support du nouveau hardware

  • Cartes 8, 16 et 32 ports 10GE (voir ce post)
  • Cartes 6800 10/100/1000 et SFP C6800-48P-TX et C6800-48P-SFP (y compris en version -XL)

Fonctionnalités à l’accès (Instant Access)

  • IPv6 First hop Security – On avait déjà quelques features, et pour cause le cat6k a été probablement la première plateforme à implémenter les mécanismes de sécurité IPv6 sur le lien-local. Après pas mal d’attente on a enfin les derniers mécanismes supportés avec une équivalence avec les autres plateformes côté configuration. DHCPv6 guard:
    • S’assurer qu’un hôte ne se fait pas passer pour un serveur DHCPv6
    • IPv6 Source/Prefix guard pour s’assurer que l’IPv6 utilisée correspond bien à l’adresse allouée (SLAAC ou DHCPv6)
    • Router advertisement Throttling pour s’assurer que l’envoi des IPv6 RA reste à une fréquence acceptable. Envoyer des RA à haute fréquence peut se révéler catastrophique pour les hosts (voir cette vidéo, un exemple parmi tant d’autres)
    • Neighbor Discovery multicast suppress active une fonction de proxy sur le switch pour le duplicate address detection. A réception d’un message ND, le switch vérifie dans sa table de binding si l’adresse IPv6 est présente. Si elle n’existe pas elle est installée et le message ND est droppé (ce qui permet à l’host de poursuivre avec son auto-configuration IPv6. Si elle existe déjà le switch
  • Simplification des configurations à l’accès
    • Support des interface templates, pratique quand on peut avoir 2000 interfaces sur une même configuration. Voir ce post pour plus de détails
    • Support d’autoconf pour appliquer automatiquement les templates de configuration sur les ports en fonction du type de device connecté. Voir ce post pour plus d’infos.
  • Identity based Networking / eEdge
    • Améliorations côté radius Change of Authorization avec support de nombreuses options, dont le changement de service templates appliqués, demander un bounce du port etc… On est au même niveau que sur les autres plateformes d’accès.
  • Augmentation scalabilité Instant Access
    • Jusqu’à 2000 ports sur 6880-X
    • Jusqu’à 1200 ports sur sup2T (6500 ou 6800). Ca devrait augmenter dans la prochaine release.
    • Piles de 5 IA maximum (au lieu de 3 précédemment)

Améliorations Netflow

  • Support de Netflow pour MPLS. Si le paquet arrive taggué on peut ainsi le voir. Cela permet éventuellement d’activer Netflow sur les liens coeur MPLS (pas uniquement à l’edge)
  • Format d’export IPFIX (en plus des formats Netflow précédents) pour ceux qui auraient un collecteur IPFIX.

Autres

  • BFD multi-hop pour les routes statiques. Permet de valider la reachabilité d’un next-hop distant afin de valider une route statique. Ca évite le traditionnel IP SLA et le script EEM qui va bien.
  • Support de LISP pour la mobilité entre subnets. On avait déjà LISP pour la virtualisation sur cat6k et les line cards 69xx (voir cette vidéo). On supporte maintenant la mobilité à travers les subnets. Concrètement ca permet de bouger une machine dans un autre VLAN sans changer son adresse. L’utilisation principale est pour les datacenters: cette fonction permet de bouger les VM entre plusieurs sites sans avoir à étendre du niveau 2. On a également des cas dans d’autres environnements (par exemple en milieu industriel, hospitalier etc.) dans lesquels les adresses IP sont parfois configurées en dur sur certains équipements. LISP permet de bouger ces équipements sans avoir à reconfigurer le réseau.
  • Multi-VRF multicast service reflection. Cela correspond à une fonction NAT pour multicast. Cette fonction est supportée depuis longtemps dans la table globale, elle l’est maintenant dans les VRF. Utile pour ceux qui ne feraient toujours pas de multicast IPv6!

References

@JeromeDurand

Tags:
Laisser un commentaire