Cisco France Blog

IOS-XE 3.4.0SG – Catalyst 4500E et 4500-X

3 min read



Je vous avais donné ici un avant goût de cette nouvelle release avec l’arrivée du VSS sur catalyst 4500-E/X. Il est temps maintenant de regarder l’ensemble des nouvelles fonctionnalités apportées par l’IOS-XE 3.4.0SG qui intègre le démon IOS 15.1(2)SG. Au menu: du VSS, beaucoup d’IPv6 (IPv6 first hop security, améliorations OSPFv3, management FTP/TFTP, IP SLA…), fonction Smart-Install director et  diverses petites choses…

Haute disponibilité – VSS

  • Support du VSS phase 1. Disponible dès IP Base sur 4500-X et 4500E en Sup7E (Enterprise Services nécessaire pour Sup7L-E) Attention quelques restrictions quand même à vérifier ici. Globalement les éléments supportés sont décrits dans les points suivants.
  • Support des Multi-Chassis Etherchannels de niveau 2 (pour le niveau 3 il faudra configurer une interface VLAN sur le VSS ou bien attendre quelques semaines)
  • Redondance avec NSF/SSO
  • Support d’ISSU (In-Service Software Upgrade) pour upgrader globalement le système sans coupure.
  • Split brain detection avec ePAgP. En cas de perte du VSL, lien d’interconnexion des 2 commutateurs du VSS, les switchs d’accès, grâce à ePAgP, vont permettre de détecter un scénario actif/actif et y remédier.
  • Possibilité de faire le VSL sur des interfaces GE ou 10GE (et ainsi de conserver les liens 10GE de la sup pour les uplinks vers le coeur.
  • En cas de présence de 2 cartes sup par châssis (quad-sup) les ports de toutes les sup peuvent être utilisés.
  • Attention tout de même, il y a quelques différences entre les fonctionnalités sur les catalyst 4500 et catalyst 6500 (y compris sur le VSS). Si vous envisagez de revoir votre design 6500 en 4500 n’hésitez pas à prendre contact avec nous pour qu’on puisse faire le point ensemble. On a quelques évolutions très intéressantes prévues sur le catalyst 6500 sur lesquelles je ne peux pas encore communiquer publiquement et je ne voudrais pas que vous passiez à côté!

Sécurité

  • On a un support complet d’IPv6 first hop security avec RA guard, DHCPv6 guard, IPv6 snooping et source guard. On a même destination guard qui permet de vérifier que la destination des paquets est conforme à la table de binding créée par IPv6 snooping. J’ai donné déjà beaucoup d’éléments sur ce blog ici, et fait quelques tests .
  • Comme pour nos contrôleurs WiFi, on supporte des fonctions d’optimisation qui permettent d’éviter que trop de messages NDP soient envoyés sur le lien-local (ND suppression). Le switch va pouvoir répondre au neighbor sollicitations à la place des clients connectés, grâce aux informations contenues dans sa table de binding.
  • Support de Lightweight DHCPv6 Relay Agent (RFC6221) qui permet au switch d’accès de proxifier les messages DHCPv6 des clients et de rajouter des options. Le switch agit donc comme relais DHCPv6 même s’il n’assure aucune fonction L3 (d’où le lightweight)
  • Support des VACL IPv6 (VLAN ACL)
  • Filtrage IPv6 pour SPAN (permettant le port-mirroring du trafic IPv6 désiré)
  • Améliorations SSHv2 (client et serveur)

Routage

  • Support des address-families OSPFv3 ce qui permet d’utiliser ce protocole à la fois pour IPv4 et IPv6.
  • Sécurité OSPFv3 via le TTL.
  • On améliore aussi BGP avec certaines vérifications sur les routes pour détecter et éventuellement réparer des situations dans lesquelles des annonces BGP n’auraient pas été envoyées correctement par un routeur (situation pouvant conduire à un black-hole)
  • Côté multicast IPv6, BSR va supporter maintenant les scoped zones (portées multicast en français). BSR va permettre l’annonce et la découverte des points de rendez-vous au sein du réseau et on garantit maintenant que chaque annonce reste au sein de la portée du point de rendez-vous (un RP local ne risque pas d’être annoncé sur l’internet)

Management

  • Fonction Smart-Install director (pas encore compatible VSS, il faudra attendre quelques mois pour cela). Nous avons également depuis peu la fonction sur le catalyst 6500 (qui pour le coup fonctionne en VSS sur cette dernière plateforme). L’idée est simple: les équipements de coeur/distribution vont permettre d’aider à l’installation et à la configuration des commutateurs d’accès. On se contente de les bracher à la sortie du carton et ces derniers vont aller chercher automatiquement leur IOS et configuration. Je devrais poster quelques infos là-dessus prochainement (et même peut-être une petite vidéo) car j’ai fait pas mal de tests sur le sujet récemment.
  • Support de FTP et TFTP sur transport IPv6 (permettant par exemple la gestion des IOS ou des configurations sur un transport IPv6)
  • Suport d’IPSLA pour le multicast. J’en ai beaucoup parlé ces derniers temps pour d’autres plateformes aussi je vais répéter: cela permet de faire des mesures actives sur du multicast (on va faire des tests de mesure depuis un routeur vers un groupe multicast où plusieurs routeurs pourront répondre). On peut donc tester que le multicast fonctionne bien sur son réseau simplement sans avoir à configurer des sondes additionnelles.
  • De nouveaux tests IPSLA sont disponibles pour IPv6 (IPSLA4.0)

Références

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire


7 commentaires

  1. bonjour,
    savez vous si la maj de lIOS IP base pour 4500x est disponible ? ou d’ici combien de temps elle le sera car je dispose de 2 x 4500x sur lesquels je souhaite activer le VSS
    Merci

    • Bonjour,
      VSS est disponible dès IP Base sur Catalyst 4500-X depuis l’IOS-XE 3.4.0SG (fin 2012). VSS est supporté dès IP Base, aucune licence additionnelle n’est nécessaire.
      Ils peuvent donc etre mis en VSS. Attention aux quelques restrictions actuelles documentées sur le configuration guide (et rappelées sur le blog), qui seront pour la plupart levées d’ici la prochaine release courant de l’année.
      A bientot!
      Jerome

  2. Bonjour ,

    dans mon infrastructure actuelle , j’ai deux Catalysts 4500 :

    – WS-4510R+E ;
    – WS-C4507R+E ;

    je désire les faire fonctionner en mode VSS , est-ce que je peux regrouper ces deux châssis ?

    dans le configuration guide , il disent que les deux châssis doivent avoir le même nombre de slots , est-ce qu’une mise à jour a été faite depuis pour supporter deux châssis avec un nombre de slots différents ou est-ce que c’est dans la target ?

    Merci par avance pour votre retour ;

    Regards.
    Kamel.

    • Bonjour,
      Pour l’instant seul le VSS nécessite 2 chassis identiques. Cette configuration devrait normalement etre supportée dans la prochaine version d’ici quelques mois.
      A bientot,

  3. Bonjour,
    Je possède deux switch 4500x que je souhaiterai configurer en VSS. Mes switchs d’accès sont des 3750 stack que je souhaiterai connecté sur chaque 4500x en utilisant L2 MEC. Cependant il semble que les 3750 stack (cross stack etherchannel) ne sont pas compatible en ePAGP mains uniquement en LACP. Je ne vois pas de dual active detection Fast Hello avec la version 3.4.0SG. Est ce que vous pouvez me renseigner concernant cette problématique. y a t’il un autre moyen de procéder ?
    Merci d’avance pour votre support.
    Cordialement,
    Stève

    • Bonjour Stève,
      C’est vrai dans ce cas de figure la situation actuelle n’est pas idéale car ePAGP n’est pas supporté avec un cross-stack etherchannel sur les 3k-X. Pour éviter les scénarios dual-active (en cas de perte totale du VSL) nous pourrons utiliser comme méthode les fast-hellos dans la prochaine release du 4k prévue courant de cette année. Cela fait parti des différences actuelles entre le 6k et le 4k.
      Maintenant pour rester avec les plateformes actuelles on peut envisager des contournements:
      1°) Utiliser un 3750X additionnel en standalone configuré en ePAGP (peut-etre dans le design actuel tous les accès ne nécessitent pas de stacks aussi cette solution est peut-être la plus réaliste?)
      2°) Si assez de fibres configurer 2 x Etherchannel entre accès et distri, chaque etherchannel arriverait sur un même 3k-X et pourrait du coup être configuré en ePGAP. On aurait un STP pour éviter les boucles entre les 2 MCEC.
      2bis°) Pour éviter le STP de la solution 2 faire un accès L3 sur le switch d’accès au lieu du STP
      J’espère que ces pistes pourront t’aider. Nos CVD (Cisco Validated Designs) devraient sous peu être mis à jour avec le VSS sur le 4500 aussi ces aspects seront officiellement couverts.
      A bientôt,
      Jérôme

      • Bonjour Jerome,
        Merci beaucoup pour ces explications concernant les scénarios dual-active actuellement disponible sur le 4500-X.
        Cordialement,
        Stève