J’ai récemment indiqué comment simplement virtualiser son infrastructure L3 grâce à EVN (Easy Virtual Network). Voir ici pour une petite vidéo et là pour la dispo dans le cat6k. EVN est une solution simple mais ne se propage pas sur le WAN… L3VPN over mGRE va nous permettre de continuer notre virtualisation L3 de bout en bout et cela sans utiliser de transport MPLS!
L3VPN over mGRE: principe
Le fonctionnement est très simple: on remplace la couche MPLS de transport de notre L3VPN par une encapsulation GRE. Les paquets échangés entre ingress et egress PE sont donc transportés sur IP ce qui donne pas mal de liberté! Attention, on conserve quand même le label MPLS qui permet de déterminer le VPN. On parle ici de mGRE (Multipoint GRE) car une seule interface tunnel est créée sur chaque routeur (on ne créé pas un full mesh entre tous nos PE). L’adresse de destination du tunnel est tout simplement l’adresse IP du next-hop BGP des routes VPN reçues.
Je vous ai déjà expliqué ici que Prime Infrastructure est un “bundle” commercial composé en réalité de trois produits: Cisco Prime LMS 4.2 dont les nouveautés sont présentées ici et là, Cisco Prime NCS 1.1 qui est présenté ici, et un troisième produit qui s’appelle Cisco Prime NCS(WAN) 1.1, et qui est l’objet de ce billet.
Précisons tout de suite que Cisco Prime NCS(WAN) 1.1 est un produit qui aura une durée de vie assez courte, car il va fusionner avec Cisco Prime NCS à l’occasion de la version 1.2 qui est prévue dans quelques mois. C’est pour cette raison qu’il n’apparait pas de manière très explicite dans toutes les communications et documents relatifs à Cisco Prime Infrastructure. En plus, le nom de ce produit est pour moi un beau contresens, car Prime NCS s’occupe de l’infrastructure wifi et de la couche d’accès filaire, et cela n’a donc pas grand chose à voir avec le WAN, alors un produit qui s’appelle NCS(WAN), on se demande bien de quel mouton à cinq pattes il peut s’agir …
Mais alors à quoi bon s’y intéresser ? Parce qu’il annonce l’avenir…
Je vous ai décrit dans ce billet les nouveautés de Cisco Prime LMS 4.2 en vous disant qu’il en manquait une … car je n’avais pas encore tous les détails, mais surtout parce qu’elle mérite un billet entier ! De quoi s’agit-il ?
Début 2011, Cisco a fait l’acquisition de Pari Networks, une petite start-up spécialisée dans la gestion de la conformité des configurations. La conformité des configurations des équipements réseaux est de plus en plus surveillée et règlementée par un nombre croissant de normes ou de standards qui répondent aux doux noms de CIS, DHS, DISA, HIPAA, NSA, PCI, SANS, SOX, ISO17799 ou CiscoSAFE. Le principe est que des administrations d’état ou organismes de normalisation édictent des normes de conformité et chaque société qui souhaite interagir avec telle administration doit prouver la conformité de son infrastructure informatique avec une ou plusieurs de ces normes. Le travail de vérification de conformité nécessite d’analyser en détails les configurations des équipements réseaux pour savoir si telle ou telle commande est présente ou absente, avec tel paramètre qui doit avoir telle valeur, etc … .
Mais LMS avait déjà une telle fonctionnalité, non ?
Après la mode du Bio voici celle du BYOD ! Comment contrôler efficacement la connexion des terminaux personnels sur le réseau de l’entreprise ? Quels sont les pré-requis sur l’infrastructure réseau ? Est-il possible de faire du BYOD efficacement sur tout type d’infrastructure réseau ? Que fait Cisco ? Des réponses dans cet article que j’ai rédigé pour Cisco Mag.
On me demande assez régulièrement quelles sont les capacités de Cisco Prime LMS à découvrir et administrer des équipements non-Cisco. Depuis la version 4.0 la réponse est oui, mais avec certaines limitations. Les principes de base sont les suivants:
LMS découvre tous les équipements qui “parlent” SNMP MIB-2, c’est-à-dire qui supportent le RFC-1213 qui est le minimum que tout équipement administrable en SNMP se doit de supporter.
LMS connait la plupart des “enterprise OID” enregistrés auprès de l’IANA. Cela veut dire que la toute grande majorité des équipements réseaux du commerce seront automatiquement reconnus par LMS.
Les fonctions de LMS 4.2 qui “marchent” avec les équipements non-Cisco sont les suivantes:
découverte et inventaire, avec tous les rapports et fonctions de recherche qui utilisent l’inventaire
monitoring (disponibilité de l’équipement et des interfaces, charge CPU et mémoire, charge des interfaces)
évènements, c’est-à-dire que les traps SNMP définis dans la MIB-2 sont reçus par LMS et apparaissent dans la console d’évènements. C’est une nouvelle fonctionnalité de la version 4.2 (voir ce billet pour plus de détails sur la version 4.2)
Toutes les autres fonctions de LMS, en particulier l‘archivage des configurations et leur modification ne sont pas possibles.
Il n’est pas possible de prendre en compte une MIB propriétaire et il n’y a pas de compilateur de MIB dans LMS
D’accord le titre de l’article est volontairement racoleur, mais si j’avais mis d’emblée BGP, RPKI, SIDR, ROA, SIA et d’autres acronymes du genre auriez-vous essayé de lire l’article?
Contexte
Commençons par comprendre le problème: l’internet est créé pas l’interconnexion de réseaux qui échangent leurs routes. Imaginons 2 opérateurs A et B qui décident de s’interconnecter et permettre ainsi aux flux entre les clients de ces opérateurs d’être acheminés par une liaison directe. A annonce à B les routes de ses clients et B fait pareil. Le protocole de routage utilisé par A et par B est BGP (Border Gateway Protocol).
Mais voila, au niveau de BGP, rien n’empêche A d’annoncer à B une route qui ne lui appartient pas, ou pire encore d’envoyer des préfixes plus spécifiques de manière à être certain d’attirer tout le trafic vers lui. C’est exactement ce qui s’était passé en 2008 quand le Pakistan, qui souhaitait alors filtrer Youtube avait annoncé sur l’internet les préfixes de celui-ci en plus spécifiques, provoquant ainsi une panne du célèbre fournisseur de contenu vidéo pendant environ 2H30 (le temps que tous les opérateurs ajustent leurs filtres)
Les opérateurs mettent en place des filtres plus ou moins précis au niveau de leurs peerings Internet, qui peuvent se baser sur les registres de routage internet (IRR). Je tente de décire cela dans ce draft IETF. L’information contenue dans ces registres n’est pas fiable dans la mesure où les enregistrements ne sont pas contrôlés. Du coup un groupe de travail IETF nommé SIDR (Secure Inter Domain Routing) a travaillé sur le sujet et propose des solutions. Voici une petite vidéo qui explique tout ça très bien:
Comme expliqué dans la vidéo chaque opérateur va donc être capable de créer des ROA (Route Origin Authorizations) décrivant pour chaque préfixe qui lui appartient le numéro d’AS qui origine le préfixe et la désaggrégation autorisée (même si l’on déclare un /21, on peut estimer que les préfixes entre /21 et /23 sont valides et suivront les mêmes règles). Le RIPE NCC pour ce qui nous concerne a mis en place un portail d’une grande simplicité pour cela. L’opération peut être faite en 10 minutes pour un opérateur qui n’aurait que peu de préfixes à signer. Une fois le ROA (Route Origin Authorization) créé, il est signé avec la clé privée récupérée par l’opérateur. Si en théorie il peut être stocké n’importe où, le RIPE NCC propose également de stocker les ROA et les clés… C’est bien pratique car si le ROA n’est pas récupérable, cela peut ne pas être sans conséquences…
Si vous avez lu ce billet, vous savez que Cisco Prime LMS fait désormais partie du bundle commercial Prime Infrastructure 1.1 qui regroupe Prime LMS et Prime NCS. D’un point de vue technique, LMS et NCS restent des produits séparés.
Je vous avais présenté ici la gamme et les fonctionnalités des sondes Cisco PrimeNetwork Analysis Module (NAM). Le dernier-né de la gamme, la carte SVC-NAM-3 pour les commutateurs Catalyst 6500 est disponible depuis plusieurs mois, mais on attendait toujours la compatibilité avec la carte sup-2T. C’est maintenant chose faite avec la sortie de la release IOS 15.0(1)SY1 pour Catalyst 6500. Tout est disponible maintenant pour tirer parti de la puissance de la carte SVC-NAM-3 avec celle de la carte sup-2T.
A noter que ce support ne nécessite pas de mise à jour du logiciel NAM, mais uniquement de l’IOS du Catalyst 6500. La SVC-NAM-3 reste avec la version 5.1.2 du logiciel NAM qui est disponible depuis Octobre 2011.
Cette nouvelle carte SVC-NAM-3 est de loin la plus puissante de la gamme Prime NAM, puisqu’elle est capable de collecter jusqu’à 15 GB de traffic en continu, selon les fonctionnalités activées sur la sonde.
Comme vous deviez vous en douter les releases pour ASR1k et ISR G2 tombent à peu près en même temps (tous les 4 mois). Comme on a une cohérence dans les sorties de features entre ces 2 plateformes vous constaterez peut-être quelques répétitions avec mon dernier post. Not a bug but a feature Jetons un coup d’oeil à ce qui nous arrive… Comme d’habitude je vais surtout m’intéresser aux features orientées infra. N’hésitez pas à consulter les release notes complètes pour avoir plus de détails.
C’est ce qui est bien avec l’IOS 15: tous les 4 mois on a une nouvelle release! Alors quoi de neuf cette fois-ci? La liste est longue avec de nombreuses fonctionnalités “réseau” qui nous intéressent ici… Attention il y a du lourd!!!
J’avais annoncé dans un post en septembre dernier la disponibilité d’un connecteur Scansafe intégré à nos routeurs d’accès ISR G2. A ce moment là je n’avais pas donné beaucoup de détails mais j’avais mis dans un coin de ma tête de tester cette feature et de vous faire un petit compte-rendu… Nous y sommes!
Commençons par expliquer ce qu’est Scansafe: il s’agit du service de sécurité web en mode SaaS de Cisco. Au lieu d’acheter une appliance pour faire le filtrage web et l’enregistrement des activités (attention vous êtes fichés!), on va juste envoyer le trafic web vers des proxies dans l’Internet qui vont effectuer cette action. Pour garantir de bonnes performances Scansafe est présent un peu partout dans le monde. La France fait parti des heureux élus, profitons-en!
EEM (Embedded Event Manager) existe depuis quelques années déjà et permet de programmer des fonctions sur l’IOS pour faire plus ou moins tout ce que l’on veut sur les switchs et routeurs. En fonction de certains évènements détectés sur l’équipement (par exemple un syslog) on va pouvoir réaliser des actions (par exemple changer une route dans la configuration du routeur).
Le prochain IOS advantage webinar du 4 avril à 17H détaillera la solution et surtout comment s’en servir pour simplifier l’opération du réseau. Inscrivez-vous ICI !
Dans mon dernier post j’annonçais la disponibilité d’EVN (Easy Virtual Network) sur Catalyst 6500 avec sup2T. J’avais alors tenté d’expliquer un peu la solution. J’ai trouvé depuis cette petite vidéo sympathique qui clarifie tout cela très bien.
Je vous ai déjà expliqué ici que “Cisco Prime” c’est d’abord une nouvelle stratégie pour développer nos produits de network management, et aussi le nom générique d’une gamme de produits. Cette stratégie vient de passer une nouvelle étape avec l’apparition de “Cisco Prime Infrastructure”, qui a été annoncé durant CiscoLive 2012 à Londres début Février.
Cisco Prime Infrastructure n’est PAS un nouveau produit, mais un “bundle” ( … j’ai pas trouvé de traduction satisfaisante…) commercial qui rassemble les deux produits Cisco Prime LMS 4.2 et Cisco Prime NCS 1.1 dans une seule référence commerciale. En clair, cela veut dire que:
il n’est dorénavant plus possible d’acheter séparément Cisco Prime LMS et Cisco Prime NCS. On ne peut acheter que Cisco Prime Infrastructure.
le prix de Cisco Prime Infrastructure est fonction du nombred’équipements (incluant les bornes wifi) à administrer. C’était déjà le modèle de licensing de LMS 4.1 et NCS 1.0. Pour s’adapter exactement au nombre d’équipements à superviser, les licences de Prime Infrastructure sont additionnelles, c’est à dire que pour administrer 800 équipements, j’achète une licence de 500 et 3 licences de 100 équipements.
Quand on achète Cisco Prime Infrastructure pour 500 équipements, on a le droit d’usage de Prime LMS ET Prime NCS pour un maximum de 500 équipements, quel que soit le nombre d’équipements effectivement administrés par chaque produit. Seul compte le nombre total d’équipements !
Les clients qui possèdent LMS 4.1 avec un contrat de maintenance actif pour les mises à jour mineures ( c’est le seul contrat qui existe) peuvent passer à Cisco Prime Infrastructure 1.1 dans le cadre de leur contrat, et ainsi bénéficier automatiquement de NCS 1.1, mais toujours dans la limite du nombre maximum d’équipements supervisés !
Il en est de même pour les clients qui possèdent NCS 1.0 avec un contrat de maintenance actif, ils peuvent passer automatiquement à Cisco Prime Infrastructure 1.1 et bénéficier de LMS 4.2.
Pour les clients qui possèdent déjà Prime LMS sans contrat de maintenance , ils peuvent acquérir une license de mise à jour vers Prime Infrastructure, et ils bénéficieront automatiquement du droit d’utiliser également Prime NCS.
Pour les clients qui possèdent déjà Prime NCS (ou son prédécesseur Wireless Control System – WCS) sans contrat de maintenance, ils peuvent acquérir une licence de mise à jour vers Prime Infrastructure et ils bénéficieront automatiquement du droit d’utiliser également Prime LMS.
Et pour ceux qui ont déjà Prime LMS et Prime NCS (ou WCS), ils peuvent passer à Prime Infrastructure pour le nombre total des licenses des deux produits, moyennant l’achat de la mise à jour de chaque produit. Par exemple, je possède Prime LMS pour 500 équipements et Prime NCS pour 200 équipements, j’achète les mises à jour de LMS et NCS et j’ai le droit d’utiliser les 2 produits pour 700 équipements, indépendamment du nombre d’équipements effectivement administrés par chaque produit.
Je m’étais engagé à continuer à vous tenir informés des nouveautés IOS, et je risque d’avoir pas mal de pain sur la planche car beaucoup de plateformes se refont une beauté en ce moment. Le premier à dégainer a été le catalyst 6500 avec sup2T pour lequel vient tout juste de sortir la version 15.0(1)SY1 (je rappelle aujourd’hui: SY = Catalyst 6500 avec sup2T) Alors qu’est-ce qui change?
Je profite de ce petit blog pour présenter un Internet Draft sur les bonnes pratiques de sécurisation de BGP (filtrage des routes, sécurisation des peerings, …) que j’ai rédigé avec Ivan Pepelnjak, auteur du blog bien connu IPspace et Gert Doering (qui maintenait déjà sur sa page web des bonnes pratiques pour IPv6 largement utilisées).
Bon, ça fait plusieurs fois qu’on me “tacle” un peu sur ce sujet et je suis a chaque fois surpris de l’étonnement des clients et partenaires quand je déballe l’ensemble des solutions de redondance dont on dispose, et surtout les avantages que l’on peut avoir par rapport aux autres constructeurs. Je ne sais pas pourquoi on a cette réputation et je doute qu’un simple post sur ce blog permettra de nous débarrasser de cette image mais bon, j’essaye… Au moins ca me permettra d’avoir un doc écrit qui servira à appuyer mes réponses!
Bon j’espère ne pas en effrayer trop mais j’ai eu cette question et ai trouvé le point suffisamment intéressant pour communiquer un peu… L’idée est de définir les chemins utilisés par les flux d’un VPN-MPLS. On sait facilement faire du TE sur un L2VPN ou du trafic IP: en gros d’un point à un autre on va contraindre le choix du chemin et utiliser RSVP pour l’échange des labels.
La semaine dernière s’est tenu CISCO live à Londres. C’est le grand salon (anciennement baptisé CISCO Networkers) dans lequel CISCO propose des sessions techniques de formation / d’information à ses clients et partenaires sur les technologies réseau (campus, datacenter, opérateurs), mais également tout ce qui touche à la virtualisation et la collaboration (voix, vidéo…) d’où le changement de nom du salon! Environ 6000 personnes étaient présentes et le nombre augmente d’année en année!
Cette semaine le catalyst 4500-X a été présenté à CISCO live! Ce nouveau switch, principalement adapté pour fournir une solution d’agrégation 10GE sur le campus, était assez attendu par de nombreux clients. Je n’ai pas pu m’empêcher de prendre une photo et de la partager avec vous:
On a maintenant sur un seul RU:
32 ou 16 ports 10GE SFP+ et toujours la possibilité d’en rajouter 8 de plus avec un module d’uplink additionnel
245 Mpps de performance pour IPv4 (122,5 Mpps pour IPv6)
Ce qui me semble vraiment intéressant est que cela ne se fait pas au détriment de l’”intelligence” de la plateforme indispensable sur tout réseau de campus: on garde toutes les fonctions de la sup7-E du catalyst 4500, avec par exemple Flexible Netflow, des fonctions IPv6, multicast et de sécurité avancées (Trustsec)… VSS est également annoncé sur le switch pour la seconde moitié de l’année: on pourra alors grouper 2 châssis 4500-X et créer un unique châssis virtuel. Je suis certain là aussi que ça en intéressera plus d’un!