Cisco France Blog

IOS-XE 3.3.0SG – Catalyst 4500E et 4500-X

6 min read



Beaucoup de nouveautés sur les Catalyst 4500 (E et -X) grâce à cette release. L’IOS-XE 3.3.0SG intègre le démon IOS 15.1(1)SG. Je rappelle 2 choses essentielles:

  • L’IOS-XE permet de dissocier tout ce qui va être fonction IOS de tout ce qui touche au hardware. L’IOS-XE est le système d’exploitation sur lequel on tournera le démon IOS mais éventuellement des applications qui peuvent être embarquées.
  • L’IOS 15 est dit “componentisé” (jargon Cisco). On retrouve les mêmes composants sur les différentes plateformes CISCO. Si l’IOS change en fonction des plateformes, on a bien derrière le plus souvent le même code ce qui accélère le développement des features et facilite la résolution des bugs.

Qu’a-t-on de nouveau ? D’une manière générale on conforte la position du 4500E comme plateforme d’accès “premium” avec l’intégration de fonctionnalités Trustsec / Medianet / HA / IPv6 et on accueille le 4500-X pour tout ce qui est distribution avec des fonctions de routage qui se rapprochent du Catalyst 6500.

Tout d’abord ne cherchez pas, il n’y a toujours pas le VSS qui doit venir en février 2013. Comme d’habitude on va se concentrer sur les fonctionnalités principales et essayer de trier tout cela…

Sécurité / accès unifié / BYOD

  • IOS device sensor: le switch intègre des fonctions de profiling simples des équipements connectés (CDP, LLDP et DHCP). Il peut ensuite soit déclencher des actions de configuration automatiquement (auto-smartports) ou bien envoyer ces informations à ISE (Identity Service Engine) via des paquets radius accounting. Ce dernier peaufinera éventuellement le profiling et pourra appliquer des configurations sur les ports du switch.
  • Auto-smartports: on avait perdu la feature en sup7, c’est revenu!
  • Auto-QoS: permet de configurer directement les règles de base de QoS sur le switch simplement via une seule macro.
  • MACSEC (chiffrement des communications en hardware – 802.1AE) sur les ports d’accès (cartes 4748) et sur les uplinks
  • Radius CoA (Change of Authorization): à réception d’une requête CoA-Req de l’ISE, le switch va redemander au client de relancer le process d’authentification. On peut ainsi placer le device dans un premier temps dans un premier VLAN puis après profiling complet effectué par exemple sur une analyse des flux HTTP, affecter un nouveau VLAN plus permissif à l’équipement connecté. Au lieu de jouer sur le numéro de VLAN on pourra tout aussi bien modifier les ACL ou affecter un SGT (Security group Tag) différent.
  • Envois de SNMP traps sur MAC moves et MAC changes – permet au switch d’envoyer des traps SNMP sur modification des adresses MAC. En configurant ISE comme serveur de traps SNMP, ce dernier peut récupérer les adresses MAC aux ports et s’en servir pour effectuer le profiling.
  • Possibilité de faire du MAB (MAC Authentication Bypass) tout en permettant la configuration du username et pasword envoyés au serveur radius.
  • Support d’IKEv2 / IPsecv3

Virtualisation

  • Support d’EVN (Easy Virtual Network). Voir cette petite vidéo ou cette page pour tout comprendre.

Visibilité / medianet

  • Support de Performance Monitor (qui nous permet de voir les perfs sur des flux RTP et TCP) et de Mediatrace (traceroute intelligent qui permet de démarrer des Performance Monitor sur tous les équipements traversés, que ce soient des switchs ou des routeurs, de récolter et d’agréger les statistiques récoltées). Le cat 4k était clairement le maillon faible à ce niveau là car la feature est dispo sur tout le reste de la gamme entreprise (3k, 6k avec sup2T, ISR G2 et ASR1k).
  • Support de IP SLA VO (Video Operation) pour simuler des flux vidéo de type “téléprésence” directement depuis les switchs. Cela permet de valider la capacité du réseau à supporter à tout moment ce type de flux et de collecter les statistiques associées.
  • On en rêvait depuis longtemps: Wireshark peut maintenant être utilisé comme application embarquée sur le commutateur. On utilise donc la principale caractéristque de l’IOS-XE: la capacité d’embarquer des applications diverses en plus du démon IOS (aka IOSd)
  • Support du numéro de VLAN comme key field pour Flexible Netflow.

IPv6

  • Côté IPv6 first hop security, on supporte maintenant RA guard (qui permet de contrôler les messages router-advertisements sur le lien local) et les PACLs IPv6 (Port ACLs). RA guard manquait cruellement mais pour ceux qui utilisaient cette excuse pour ne pas commencer le déploiement il va falloir trouver autre chose. Vite la date du World IPv6 launch approche!
  • On peut maintenant avoir des statistiques différenciées IPv4/IPv6 sur les interfaces.
  • Support d’IS-IS pour IPv4 et IPv6
  • Support de NTP, TACACS+ et Radius pour IPv6 (et par VRF pour NTP). Pour les réseaux v6 only qui vont commencer à pointer le bout de leur nez ça peut aider de commencer à migrer le management plane sur le nouveau protocole de l’internet!

Routage

  • Support des numéros d’ASN sur 32 bits: et oui, si le stock d’IPv4 est bientôt épuisé c’est pareil pour les numéro d’AS. On a maintenant des AS sur 32 bits! Autant ne pas se couper des nouveaux entrants sur l’internet.
  • BGP dual AS: pratique pour les migrations de numéro d’AS sans tout casser! On va pouvoir changer d’AS tout en conservant son ancien AS pour certains peers. Plus besoin de migrer tous les peerings d’un coup.
  • Possibilité d’activer/désactiver BGP garceful-restart par neighbor.
  • BGP: gestion des “wildcards” pour les communautés. Ca peut simplifier la mise en place de règles sur tout un ensemble de communautés similaires (ex: 65000:*)

Multicast

  • Possibilité de désactiver le support du multicast IPv6 (à la fois au niveau de PIM et MLD) pour certains ranges d’adresses multicast.
  • IPv6 SSM mapping. Cela va permettre de faire du PIM-SSM même pour des clients ne supportant que MLDv1. Sur réception d’un message MLD report qui ne contiendra par définition qu’une adresse de groupe, le routeur va pouvoir déterminer les sources à joindre directement en vérifiant dans sa configuration.
  • BSR pour IPv6. BSR est le standard permettant de propager automatiquement la configuration des RP et groupes associés à l’ensemble du domaine PIM. Si BSR était déjà supporté, on peut maintenant statiquement configurer les group-to-RP mappings sur n’importe quel routeur et les annoncer dans BSR (Plus besoin de gérer ça au niveau du candidate RP)
  • MSDP MD5 password authentication pour la sécurisation des sessions MSDP.
  • Possibilité de limiter le nombre de groupes MLD sur un port ou sur l’équipement globalement. C’est une bonne pratique pour protéger les équipements réseau d’un host qui s’abonnerait à beaucoup de groupes et consommerait toutes les ressources.
  • IGMP static group range: cela permet de simplifier la configuration d’entrées IGMP statiquement sur plusieurs ports de l’équipement. On va configurer dans une class-map de type multicast-flows où l’on va déclarer nos groupes et sources associées puis l’on va pouvoir associer ces class-maps à autant un ou plusieurs ports.
  • Partie cliente de IGMPv3 implémentée sur le switch (peut être pratique pour le troubleshooting)

Haute disponibilité

  • NSF est maintenant dans IP Base!
  • OSPF graceful shutdown: juste avant un reload, on va pouvoir appliquer un poids infini à toutes les adjacences OSPF via une simple commande. Ca va nous permettre de basculer tout le trafic avant d’éteindre ou redémarrer l’équipement
  • IPv6 OSPFv3 NSF/SSO. Permet en cas de switchover de Sup de redémarrer OSPFv3 en douceur en s’aidant des voisins (Graceful Restart). Indispensable pour la haute dispo des services IPv6!
  • IPv6 OSPFv3 Fast Convergence: comme on le fait depuis longtemps sur OSPF pour IPv4, on pourra jouer sur les timers pour l’envoi des LSA et le calcul du SPF. On pourra également configurer des throttle timers qui permettront de retarder certains évènements. Par exemple, en cas de grosse panne, autant attendre de recevoir tous les LSA avant de démarrer le calcul du SPF!
  • BGP graceful restart per neighbor
  • BGP Nexthop tracking: par défaut la table BGP est mise à jour toutes les 60 secondes par le BGP scanner qui va vérifier que les next-hops sont bien joignables par l’IGP. Avec BGP Nexthop Tracking on va immédiatement remonter à BGP les changements de nexthop et diminuer considérablement les temps de convergence pour certains cas de figure.
  • Fast UDLD: permet de détecter un lien unidirectionnel en moins d’une seconde.
  • Support des adresses IPv6 globales pour HSRP
  • PIM triggered Joins: après un switchover, la nouvelle sup va changer le GENID des messages PIM Hellos pour indiquer à ses voisins qu’un switchover a eu lieu et qu’il faut immédiatement reconstruire la topologie PIM. A réception de ces Hellos, les voisins envoient alors immédiatement des PIM Joins (S,G) et (*,G) pour tous les états.

Divers

  • Possibilité de désactiver l’apprentissage des adresses MAC sur des VLANs spécifiques (par défaut le switch remplit sa mac-address-table avec les MAC sources des paquets qui transitent). Attention aux conséquences, ça floode!
  • “No Service Password Recovery” va effacer la configuration de l’équipement quand la password-recovery procedure est déroulée… Archivez bien vos configurations!

 Références

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire


3 commentaires