Cisco France Blog

IOS 15.2(4)M – ISR G2

3 min read



Ceux qui connaissent les cycles très prédictifs des IOS des ISR G2 s’attendaient à ce post: une nouvelle release tous les 4 mois. Et cette fois-ci comme tous les ans (toutes les 3 releases) on a une version “extended maintenance” (release M) qui est supportée pendant 3 ans (en incluant tout ce qui est correctif de sécurité). Qu’a-t-on d’intéressant cette fois-ci?

Routage

  • Enfin le support d’OSPFv3 dans une VRF-lite (PE-CE)! Je sais que beaucoup l’attendaient! Attention la configuration change du coup: oublier “ipv6 ospf …” et aller vers les commandes “ospfv3…” encore peu documentées malheureusement 🙁 mais on l’a c’est le principal!
  • Possibilité d’ajouter un tag aux routes IPv6 dans IS-IS
  • Support de la fonction advertise passive-only pour IS-IS IPv6. Cela permet de réduire la table de routage en n’ayant que les routes associées à des passive-interfaces (les intercos entre routeurs du backbone ne sont plus dans la table).
  • Routed pseudowire: cela permet de router un paquet sur l’ISR G2 puis d’envoyer le trafic sur un tunnel EoMPLS. Les release nots indiquent “routed VPLS”: ne vous y trompez pas toujours pas de VPLS sur ISR G2! Généralement les opérateurs préfèrent des designs H-VPLS avec des pseudowires P2P redondants depuis les ISR G2 vers un coeur VPLS (ASR1k, 7600, ASR9k, 6500, CRS…)
  • RSVP sur UDP

Haute-disponibilité

  • Support de BFD pour EIGRPv6
  • BGP graceful shutdown: intéressant pour faire des maintenances sans perdre des paquets. On va pouvoir pré-programmer des modifications local-pref ou des ajouts de communautés pour déprécier les routes BGP et faire en sorte qu’elles ne soient plus utilisées avant une maintenance sur le routeur
  • Support de VRRPv3 qui apporte le support d’IPv6 pour la sécurisation de la passerelle par défaut

Performance applicative

  • L’intégration des metadata NBAR. Dit comme cela ça ne veut pas dire grand chose. Je vais expliquer grossièrement l’idée mais il faudra dans tous les cas tester un peu. L’idée est que notre routeur qui intègre maintenant une analyse DPI (Deep Packet Inspection) digne de ce nom puisse communiquer aux autres routeurs/commutateurs traversés l’application qui a été reconnue. N’importe quel switch qui ne sait pas faire de DPI pourra donc bénéficier de l’information quant à la nature du flux et appliquer par exemple une QoS appropriée. Les mécanismes pour échanger ces informations sont ceux déjà utilisé par Mediatrace avec transport RSVP. Je rassure tout de suite: RSVP est uniquement utilisé comme couche de transport et c’est entièrement transparent: on n’a pas a subir toute sa complexité! RSVP est privilégié car pas filtré et les mécanismes de snooping au niveau des switchs sont déjà existants: pratique!

Sécurité

  • Support de l’accélération hardware IPsec IPv6 sur notre VPN-ISM
  • Support de la Suite-B pour GETVPN. GETVPN permet de chiffrer les données entre plusieurs routeurs sans créer de tunnels. La technologie peut être adaptée pour chiffrer du contenu à travers un L3VPN opérateur ou même chiffrer un réseau overlay construit avec LISP. Un serveur va s’occuper de la distribution des clés entre les routeurs. Avec la support de la Suite B on améliore encore le chiffrement.
  • Ajout de fonctionnalités au connecteur Scansafe (pour la sécurité web). Entre autres on peut maintenant configurer des whitelists, visualisation sur le routeur des redirections, correction de problèmes au niveau de la gestion des groupes d’utilisateurs…

Monitoring

  • IP SLA pour multicast: cela permet de faire des mesures actives sur du multicast (on va faire des tests de mesure depuis un routeur vers un groupe multicast où plusieurs routeurs pourront répondre). On peut donc tester que le multicast fonctionne bien sur son réseau simplement sans avoir à configurer des sondes additionnelles. Avoir des outils pour troubleshooter ou être pro-actif sur du multicast n’est vraiment pas du luxe! Pas sur que ça marche en IPv6. Je posterai un commentaire dès que j’aurai pu vérifier ce point.
  • MIB OSPFv3
  • MIB NTPv4

Divers

  • Support des futurs UCS E-Series (qui sont la prochaine version des blades intégrées aux ISR G2). Outre la puissance de processing améliorée, le support de disques SSD etc. une grosse différence réside dans le modèle même des des UCS E-Series qui n’impose plus de contrainte quant au software à installer. Notamment l’administrateur pourra choisir l’hyperviseur de son choix pour l’installer sur l’UCS E-Series (aujourd’hui seul SRE-V peut être installé sur une carte SRE). Bien sûr il restera possible d’installer des applications directement sur les UCS E-Series (vWAAS, CUCM…)
  • IP multiplexing: ici l’idée est de pouvoir transporter plusieurs paquets dans un seul paquet UDP (bref de multiplexer) afin d’être plus efficace dans des réseaux de transports qui seraient limitants en termes de nombre de paquets transportables par secondes (comme certaines technologies satellite).

Release notes

Authors

Jerome Durand

Technical Solutions Architect

Tags:
Laisser un commentaire


4 commentaires

  1. Voici le bug pour plus d’information : CSCub42920

    Aymeric

  2. Bonjour,

    2 petites informations complémentaires :
    – On est sur une 15.2.4M1 (changement suite à un problème majeur pendant la validation).
    – Il semblerait que l’ajout de la suite B pose un problème de compatibilité en GetVPN avec les versions précédentes ce qui oblige d’avoir un réseau GetVPN à 100% en 3.7.0 pour les ASR et 15.2.4M1 pour les ISR (voir CSCub42920).

    Aymeric MARCHAND