Cisco France Blog

Le cat6k se refait une jeunesse avec la sup2T

3 min read



sup2T

8 ans après les premières ventes de sup720, la sup2T fait son entrée et entend bien redonner une jeunesse au cat6k. Au delà de la capacité de forwarding qui est doublée (40Gbps -> 80Gbps par slot), la carte apporte de nombreuses fonctionnalités avancées via la PFC4 (Policy Feature Card) embarquée et un management simplifié. Je note notamment:

  • VPLS : il devient maintenant possible d’activer VPLS sur les cartes LAN. Si le cat6k n’était pas forcément le choix numéro 1 des fournisseurs de services de VPN MPLS, on pouvait regretter tout de même l’absence de VPLS sur la sup720 (PFC3) qui a pu dans de rares cas nécessiter la mise en place de pénibles solutions de contournement. Il devient possible d’activer jusqu’à 16,000 instances VPLS sur un châssis. En cerise sur le gateau on a la possibilité d’activer du H-VPLS en bridgeant un L2VPN MPLS point à point avec la VFI.
  • Flexible netflow : le cat6k se repositionne comme un des rois du flow monitoring: flexible netflow, ingress/egress netflow, sampled netflow. Plus de 1 millions de flux peuvent être être stockés sur la PFC4XL (512K ingress et 512K egress). Afin de décharger la sup2T, les exports peuvent être faits directement depuis les DFC4.
  • QoS : ceux qui ont par le passé dû batailler un peu avec la “mls QoS” et sa syntaxe un peu brute de fonderie apprécieront le passage en MQC QoS. Les policing peuvent être maintenant activés systématiquement en ingress comme en egress via des process séparés. Les policers (aggregate ou microflow) peuvent être définis en bps ou pps, et deviennent plus précis que par le passé avec la possibilité de définir une période de burst. La classification des paquets L3 peut maintenant se faire au niveau 2 (l’inverse était déjà possible).
  • IPv6 : du fait de la longévité du switch et de ses composants, un effort particulier a été fait pour qu’IPv6 soit traité avec un niveau de performance équivalent à IPv4, que ce soit pour le forwarding de base mais aussi pour les fonctionnalités avancées. Première amélioration attendue de longue date: il devient possible d’avoir des compteurs IPv6 sur les interfaces et il n’est donc plus besoin maintenant d’utiliser netflow où d’autre méthode “avancée” pour faire une métrologie v4/v6. Autre point majeur, les ACL permettent de stocker des règles de filtrage IPv6 complexes dans les TCAM sans nécessité une compression des adresses IPv6. Parmi les autres points d’amélioration je ne citerai que la disponibilité d’uRPF en mode loose comme en mode strict ainsi que la prise en compte de la haute dispo v6 avec SSO/NSF.
  • Multicast : la plupart des opérations souvent traitées par la CPU (PIM register, IGMP/MLD snooping…) sont maintenant faites en hardware. La réplication des flux multicast dans des MVPN est maintenant optimisée car traitée dorénavant en egress (évitant ainsi des commutation inutiles au sein du châssis).
  • Sécurité avancée / Trustsec : la sup2T apporte une gestion avancée des “security groups”, véritable innovation globale sur toute la gamme “borderless networks”, qui permet de simplifier considérablement la gestion de la sécurité sur un réseau d’entreprise (SGT: security group tagging, SGA: gestion des ACL par security-groups, exports netflow par security-group…) Autre innovation, tout comme le cat4k, le cat6k supporte maintenant MACSEC, permettant de chiffrer en line rate les échanges entre 2 châssis, y compris sur les interfaces 10GE ou des liens EoMPLS.
  • CoPP (Control Plane Policy) : là aussi on constate agréablement que les équipes d’ingénierie ont été à l’écoute des opérateurs. CoPP peut maintenant s’activer sans risque puisqu’il devient possible de compter les paquets “matchés” par les règles configurées. Le process de mise en place de CoPP devient itératif: un examen des compteurs permet d’adapter et d’affiner les filtrages. Un autre point qui me semble tirer les leçons du passé est la possibilité de pouvoir sur une clause faire remonter un paquet à la CPU: ceci permet de sécuriser les protocoles pour lesquels une forte interaction entre plan de contrôle et plan de forwarding est nécessaire (je pense notamment au multicast que j’ai eu le malheur de “casser” lors de mon premier déploiement de CoPP sur PFC3).
Je reste tout de même sur ma faim concernant le “faible” saut en capacité de forwarding (40Gbps -> 80Gbps par slot). Les cartes 16 ports 10GE resteront bloquantes en 2:1 (contre 4:1 aujourd’hui). Aussi, un point qui risque d’être un obstacle à certaines adoptions dans l’immédiat est l’incompatibilité de la PFC4 et des DFC3 embarquées dans les LC de génération précédentes. Aucun mode “dégradé” n’est prévu et il est nécessaire de changer les DFC3 pour des DFC4 pour rester dans un mode distribué (ou bien DFC3XL -> DFC4XL), où bien de repasser en CFC (Centralized Forwarding Card) et refaire transiter tout le processing sur la PFC4 embarquée sur la sup2T.
Mais dans l’ensemble les avancées sont considérables et me semblent toutes correspondre aux attentes des clients. De nouvelles cartes d’interface et de service sont également maintenant disponible (ou sur le point de l’être) et tireront le meilleur parti de la sup2T. Le 6500 se refait donc une jeunesse et a encore de nombreuses années devant lui!

Authors

Jerome Durand

Technical Solutions Architect

Laisser un commentaire