Cisco France Blog

IOS-XE 3.7E / IOS 15.2(3)E pour catalyst 4k, 3k et 2k

3 min read



Toujours dans les nouveaux IOS avec l’IOS-XE 3.7E (IOS 15.2(3)E) sorti aussi peu avant les fêtes. Beaucoup d’avancées côté converged access (fonction WLAN) maintenant disponible sur catalyst 4500E sup8E, mais également sur des fonctions plus classiques…

WiFi (3650 / 3850 / Catalyst 4500E sup8E)

  • Support AP1700 (converged access) et AP1570 (local mode)
  • VLAN tagging supporté sur les AP700W
  • Support converged access sur catalyst 4500E sup8E. C’était annoncé depuis quelque temps, c’était bien sous le sapin. Attention aux quelques restrictions associées (pas de VSS, impact sur les uplinks, slot 10 sur chassis 4510…) mais pas de grosse restriction à ce stade.
  • AutoQos sur WiFi. C’est une des principales features déployées sur les switchs… Autant que cela serve pour le WiFi.
  • AVC (Application Visibility and Control). Possibilité de voir les plus grands utilisateurs par application. On consolide les dashboards sur le contrôleur. Mais dans tous les cas exportez les flux vers Prime Infrastructure et vous aurez des statistiques détaillées avec possibilité de faire des recherches de ce type.
  • MC managing MA. En converged access il était nécessaire de configurer chaque élément avec les informations WiFi. Si on sait le faire depuis Prime Infrastructure (et pour cause les configurations sur tous les éléments sont quasi-identiques) on essaye également de simplifier le CLI en permettant depuis le Mobility Controller (élément qui coordonne la mobilité et la radio) de configurer chaque Mobility Agent (chaque switch qui termine localement les tunnels CAPWAP des AP qui lui sont connectés). Si MC et MA sont des inconnus pour vous je vous encourage à lire les paragraphes sur ce sujet dans la datasheet du 3850 ici.
  • Web authentication pour clients en veille (sleeping clients). Sur 3k et 4k. L’idée est de garder les sessions actives suffisamment longtemps afin que l’on ne redemande pas à chaque fois une ré-authentification des clients.

Filaire (tous)

  • Chiffrement MACSEC entre switchs (SAP) sur 3650/3850. Pour le chiffrement client/serveur il faudra attendre encore quelques semaines.
  • IPv6 first hop security sur des Etherchannels
  • Private VLAN sur 3650/3850. Davantage utilisée en datacenter, c’était probablement la dernière fonction du 3750-X qui n’avait pas été rendue disponible sur 3650/3850. C’est maintenant chose faite.
  • Support du wired guest access sur 4500 sup8E (on avait déjà la feature sur 3650/3850). Cela permet d’appliquer l’architecture guest (avec un contrôleur ancre) largement utilisée pour le WiFi également pour le filaire.
  • CDP bypass. Je n’imaginais pas cela revenir mais l’idée est de pouvoir placer un téléphone sur le Voice VLAN indépendamment des règles d’authentification configurées sur le port. A l’heure du profiling et du 802.1X sur les téléphones ca semble surtout être fait pour quelques clients qui ont pris leurs aises à une époque. Dites moi si je me trompe!

Global

  • Pas mal de choses liées à IPv6
    • IPv6 source guard sur 3650/3850 pour s’assurer que l’IPv6 utilisée correspond bien à l’adresse allouée (SLAAC ou DHCPv6). La fonctionnalité était déjà supportée sur les autres.
    • IPv6 prefix guard, même principe que source guard mais on travaille au niveau du préfixe (quand par exemple le switch est entre une home gateway et le routeur de l’opérateur). On va vérifier que les paquets envoyés par le client correspondent bien au préfixe alloué via DHCP-PD (prefix delegation) par exemple.
    • IPv6 destination guard (sur 3k et 4k) pour ne transférer au niveau de la gateway d’un lien que des paquets vers les IP actives. Avec éventuellement 2^64 adresses possibles par lien (préfixe /64) un scan peut avoir des conséquences dramatiques: le routeur sature en cherchant à faire les résolutions pour chaque adresse. Cette fonction permet de se protéger de ce type de comportement.
    • Export Netflow sur IPv6. Permet d’exporter vos flux sur un transport IPv6 (bonne résolution 2015: affranchissez vous du v4 pour le management!)
    • Support des wildcards dans les ACL IPv6. On le fait depuis longtemps en IPv4, on améliore ainsi le contrôle sur nos filtres IPv6.
  • Ajout de fonctions à mDNS (3ème phase d’ajout de fonctions). On trouvera par exemple la possibilité de limiter le nombre de messages par seconde pour éviter de surcharger la CPU d’un switch, on peut également faire des règles par interface, afin par exemple de load-balancer les messages “Bonjour” entre plusieurs gateways…
  • Autonomic Networking (AN) arrive sur le switching. Vous entendrez je pense de plus en plus souvent parler de ce terme. Des fonctions d’auto-management des équipements. Je ferai un post dédié à ce sujet dans les semaines à venir.
  • Auto-QoS compact permet de masquer toutes les configuration générées par autoqos de la running-config. On poursuit donc dans la simplification globale de la running (après les templates, les fonctions auto secure …)
  • VLAN name extension pour avoir des noms de VLANs sur 128bits (au lieu de 32 bits actuellement). Décidément le passage de 32 bits à 128 bits semble inévitable partout!
  • LDAP: sélection de l’interface et de la VRF source pour joindre l’annuaire.
  • PBR par VRF sur catalyst 4500E, pour IPv4 et IPv6.
  • Sélection d’une VRF dans la commande copy (3k et 4k uniquement, pas de VRF sur le 2k)

Références

 

@JeromeDurand

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire