Comme vous deviez vous en douter les releases pour ASR1k et ISR G2 tombent à peu près en même temps (tous les 4 mois). Comme on a une cohérence dans les sorties de features entre ces 2 plateformes vous constaterez peut-être quelques répétitions avec mon dernier post. Not a bug but a feature 🙂 Jetons un coup d’oeil à ce qui nous arrive… Comme d’habitude je vais surtout m’intéresser aux features orientées infra. N’hésitez pas à consulter les release notes complètes pour avoir plus de détails.
Routage
- Possibilité d’ajouter un tag aux routes IPv6 dans IS-IS
- Support de la fonction advertise passive-only pour IS-IS IPv6. Cela permet de réduire la table de routage en n’ayant que les routes associées à des passive-interfaces (les intercos entre routeurs du backbone ne sont plus dans la table). J’aurais peut-être du mettre cette feature dans la rubrique sécurité…
- Support du policy based routing IPv6 – PBR IPv6 – dans une VRF
- Dans EIGRP les tags peuvent maintenant être représentés sous forme d’adresse IPv4 et non de simples numéros. Cela permet plus de souplesse dans leur traitement (ils peuvent être matchés sur des ACL)
- MPLS-TE autotunnel mesh groups – Création automatique de tunnels TE entre de nombreux PE via l’utilisation à la fois d’une interface template dont les configurations seront reprises automatiquement pour tous les tunnels, et d’une ACL qui indique les PE de destination vers lesquels des tunnels doivent être établis.
- Support des L2VPN MPLS point-à-point (VPWS) terminés sur des GEC (Gigabit Etherchannel)
- On complète tout ce qui est interworking (possibilité d’avoir 2 technos de transports différentes aux extrémités d’un VPWS) avec le support du mode Frame-Relay <-> ATM
- Apparemment plusieurs nouveautés autour de LISP. Par contre la documentation laisse malheureusement un peu à désirer actuellement. Je ferai un petit topo sur LISP un de ces jours avec quelques petits tests à la clé 🙂
Haute disponibilité
- BGP graceful shutdown: intéressant pour faire des maintenances sans perdre des paquets. On va pouvoir pré-programmer des modifications local-pref ou des ajouts de communautés pour déprécier les routes BGP et faire en sorte qu’elles ne soient plus utilisées avant une maintenance sur le routeur.
- BFD pour EIGRPv6
- Support du bit C dans BFD: cela permet d’indiquer au neighbor BFD si l’implémentation du BFD locale est dépendante ou non du control plane. Avec NSF/SSO, en cas de switchover de RP, les routeurs peuvent continuer à forwarder les paquets. Si par contre BFD est configuré et implémenté sur le RP (et non déporté sur la line-card) il ne sera peut-être plus capable de répondre dans les temps au moment du switchover on va quand même initier une convergence alors que le routeur était bien capable de forwarder…
- Support de BFD pour BGP multihop
- SSO pour tunnels IP
- SSO pour MPLS TE autotunnel/automesh – Bien pratique pour ceux qui veulent faire du MPLS FRR (Fast Re-Route) tout en limitant la casse en cas de switchover de RP.
- NSR pour les peerings iBGP – Je rappelle qu’avec Non Stop Routing, quand il y a une bascule de Route Processor (RP), le protocole de routage démarré sur la nouvelle RP active est dans le même état qu’avant le switchover. On n’a en théorie plus besoin de toute la logique NSF pour resynchroniser les protocoles de routage. Avec la 3.6S, NSR est maintenant configurable pour les peerings iBGP (en plus de eBGP déjà supporté). Le principal intérêt de NSR pour BGP à mon avis reste de pouvoir assurer une haute disponibilité en cas de bascule de RP quand les neighbors sont dans un autre domaine et ne supportent pas forcément NSF. Pour iBGP a priori moins utile mais pourquoi pas…
- NSR autosense – le comportement de NSR pour BGP est légèrement modifié. Un route refresh n’est plus initié par le routeur une fois la bascule finie. Ce route refresh est en théorie inutile puisque le protocole redémarre dans le même état que l’ancien donc a priori il a déjà les bonnes routes. Pour ceux que cela gène on peut revenir dans l’ancien mode mais le comportement par défaut est modifié.
Sécurité
- IPv6 zone-based firewall: on peut donc maintenant utiliser l’ASR1k pour faire du stateful firewalling pour IPv4 et IPv6. Avec les ajouts du filtrage sur SGT (Security Group Tag) apporté par la 3.5S et cette nouvelle amélioration on sent une bonne dynamique sur l’IOS firewall.
- Possibilité de filtrer les extensions hop-by-hop IPv6 par des ACL (important car ces extensions peuvent être utilisées pour des denis de service)
- Fonction key server pour GETVPN. Auparavant il fallait un autre routeur pour cette fonction. GETVPN permet de chiffrer entre plusieurs sites sans utiliser de tunnels. C’est particulièrement adapté pour chiffrer le trafic au dessus d’un MPLS VPN mais aussi pour un VPN fait par LISP (promis je ferai une démo un de ces jours!)
Coexistence IPv4 / IPv6
- Fonction Carrier Grade NAT. Je reviendrai là-dessus sur le blog IPv6 d’ici une quinzaine de jours.
- ALG (Application Layer Gateway) H323 pour permettre à ce protocole de transiter à travers un NAT64. Je rappelle qu’on avait déjà l’ALG FTP disponible.
Virtualisation
- Enfin le support d’OSPFv3 dans une VRF-lite! Beaucoup l’attendaient et vont être ravis de pouvoir enfin faire tourner un IGP IPv6 dans une VRF.
- SAFI 129 pour BGP IPv4: les routeurs BGP peuvent maintenant supporter des topologies unicast et multicast distinctes au sein d’un L3VPN – IPv4 uniquement 🙁
- Fonction de routage sur pseudowire ou VPLS. Une interface VLAN peut-être créée pour un VPLS sur laquelle on pourra configurer aussi une adresse IP.
Performance applicative
- Support de TWAMP responder (Two Ways Active Measurement Protocol), protocole standardisé par l’IETF pour des mesures actives
- Encore des améliorations sur Performance Monitor (qui nous permet de voir les perfs sur des flux RTP et TCP). Notamment on gagne énormément en visibilité sur les flux TCP avec entre autres l’observation des paquets désordonnés. Possibilité également d’appliquer performance monitor sur une interface IPv6
- DMVPN: support de QoS par site de destination sur une interface tunnel d’un site central. Ca permet sur le site central de créer un shaping correspondant au débit de chacun des débits des sites spoke.
Management
- Possibilité de voir dans un syslog un identifiant qui permet de reconnaître l’ACE (entrée de l’ACL) qui a généré le log.
- Fonctions Ethernet OAM
Laisser un commentaire
6 commentaires
Il semble qu’il y ait eu quelques progrès sur la doc:
http://www.cisco.com/en/US/docs/ios-xml/ios/mp_l2_vpns/configuration/xe-3s/mp-vpls.html
Il est vrai que certaines features sont tellement attendues qu’elles sont annoncées alors que la doc n’est pas tout à fait prête. J’espère que c’est plus simple maintenant?
J’ai répondu un peu vite… Le configuration guide est défini pour ASR1000 et 7600. La configuration diffère du fait de l’architecture radicalement différente entre plateformes. A priori ils ont ajouté ASR1000 comme plateforme supportée sans modifier le doc qui avait été fait pour 7600. Pas top… En cherchant vite j’ai trouvé des choses intéressantes sur les forums de support:
https://supportforums.cisco.com/thread/2085269
Pour ASR1k il faut donc partir sur une conf basée sur le framework EVC. Il y a des exemples dans le lien. Il va vraiment falloir que je teste tout ça!
Oui c’est ce que je pense depuis le début, utiliser EVC et probablement BDI.
On a fait un test simple avec un collègue, ça fonctionne mais le manque de documentation rend les choses un peu floues sur certains points…
Je suis en AIP également :
J’ai également la commande disponible au prompt mais elle ne passe pas :
Bonjour,
Merci pour ces updates.
Bonne nouvelle pour SAFI 129 pour BGP IPv4 !
Par contre, je ne comprends toujours pas les docs concernant VPLS… toujours pas d’interface VLAN configurable sur mon ASR1001…
Matthieu
Merci Matthieu de rendre le blog vivant! N’hésitez jamais à poser vos questions et à interagir directement…
Ca passe pour moi…
Par contre il faut je suppose la bonne licence. L’ASR1001 fonctionne avec l’IOS XE universel et les commandes se débloquent après avoir appliqué les licences… C’est peut-être le problème?
Après pour être franc je n’ai pas encore testé VPLS sur la machine…