Cart is empty
Home
Khái niệm, giải pháp và cấu hình thiết bị mạngGiải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco SD-WAN cơ bản
Khái niệm, giải pháp và cấu hình thiết bị mạngGiải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco SD-WAN cơ bản
Giải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco SD-WAN cơ bản
Như chúng ta đã biết hệ thống mạng truyền dẫn IP bao gồm 2 thành phần chính là lớp điều khiển (control plane) và lớp truyền tải dữ liệu (data plane). Các mạng wan thông thường chức năng điều khiển và truyền tải nằm tại router; trong khi mạng kiểu sd-wan sẽ tách phần chức năng điều khiển ra khỏi router và được quản lý điều khiển chọn đường một cách tập trung; việc này giúp việc chọn đường một cách linh hoạt và tối ưu.
Mời xem thêm khái niệm mạng sd-wan
Giải pháp mạng Cisco SD-WAN Viptela
Là giải pháp mạng sd-wan cấp doanh nghiệp giúp thuận tiện trong việc chuyển đổi số, sử dụng đám mây. Mạng triển khai linh hoạt; tính tự động hóa cao; triển khai nhanh và không phụ thuộc mạng truyền dẫn. Mạng tích hợp đầy đủ việc định tuyến; xác thực thành phần tham gia mạng; bảo mật đường truyền; chọn đường linh hoạt theo: ứng dụng, chất lượng đường truyền hoặc tình trạng mạng.
Kiến trúc mạng Cisco sd-wan Viptela ngoài 2 phần chính là control và data còn thêm phần management (vManage) và orchestration (vBond)
- vManage: thực hiện chức năng quản lý thiết bị, quản lý cấu hình và giám sát tập trung bằng giao diện đồ họa trực quan.
- vBond: thực hiện chức năng sắp xếp, làm trung tâm kết nối ban đầu để các thành phần gia nhập mạng sd-wan.
- vSmart: đầu não của mạng sd-wan thực hiện chức năng điều khiển: chọn đường, thực thi chính sách tập trung...
- vEdge: là các router sd-wan, thực hiện chức năng truyền tải dữ liệu giữa các router trên kênh truyền được mã hóa.
LAB triển khai mạng Cisco sd-wan Viptela với 3 site:
Các bước thực hiện:
1, Quy hoạch mạng
Tên tổ chức OU: VNE
2, Cài đặt vManage, vSmart, vBond, cài đặt các chứng chỉ số.
Cấu hình cơ bản của vManage, vBond, vSmart:
vManage# sho run
system
host-name vManage
system-ip 1.1.1.1
site-id 10
admin-tech-on-failure
sp-organization-name VNE
organization-name VNE
vbond 192.168.0.83
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$ODc9uY6W5DhZFdH
!
!
logging
disk
enable
!
!
!
vpn 0
interface eth0
ip address 192.168.0.81/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service stun
allow-service https
!
no shutdown
!
!
vpn 512
!
(END)
vBond# sho run
system
host-name vBond
system-ip 3.3.3.3
site-id 10
admin-tech-on-failure
no route-consistency-check
organization-name VNE
vbond 192.168.0.83 local vbond-only
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
!task security read
usergroup tenantadmin
user admin
password $6$KtpDcYSYK..maIa
!
!
logging
disk
enable
!
!
!
omp
graceful-restart
advertise connected
!advertise static
security
ipsec
authentication-type ah-sha1-hmac sha1-hmac
!
!
vpn 0
interface ge0/0
ip address 192.168.0.83/24
ipv6 dhcp-client
tunnel-interface
encapsulation ipsec
allow-service dhcpgp
allow-service dns
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
!
vpn 512
interface eth0
no shutdownent
!
(END)
vSmart# sho run
system
host-name vSmart
system-ip 2.2.2.2
site-id 10
admin-tech-on-failure
organization-name VNE
vbond 192.168.0.83
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$nuAi3ZX4S8qz6vaJ$
!
!
logging
disk
enable
!
!
!
omp
no shutdown
graceful-restart
!
vpn 0
interface eth0
ip address 192.168.0.82/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service stun
!
no shutdown
!
!
vpn 512
!
(END)
3, Cập nhật danh sách router (authorized WAN Edge serial number file) từ tài khoản Cisco Smart Account lên vManage; mục đích của việc này đảm bảo chỉ nhưng router được xác thực mới có thể gia nhập mạng sd-wan của tổ chức đó.
4, Đưa router gia nhập mạng: cấu hình template trên vManage và đẩy xuống vEdge router; việc tạo template giúp việc triển khai cấu hình cho cả loạt thiết bị được nhanh chóng.
Tạo feature template
Tạo vEdge router template từ các feature template.
Áp vEdge template từ vManage xuống cả 3 vEdge router
5, Show thông tin và test thử
Show thông tin tại DASHBOARD
Show control connections
vedge_VNE_1# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 2.2.2.2 10 1 192.168.0.82 12446 192.168.0.82 12446 biz-internet No up 0:00:26:44 0
vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 biz-internet - up 0:00:26:45 0
vmanage dtls 1.1.1.1 10 0 192.168.0.81 12446 192.168.0.81 12446 biz-internet No up 0:00:26:43 0
vSmart# show control connections
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB
INDEX TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE UPTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vedge dtls 7.7.7.7 4 1 192.168.0.86 12346 192.168.0.86 12346 biz-internet up 0:04:40:22
0 vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 default up 0:04:42:19
0 vmanage dtls 1.1.1.1 10 0 192.168.0.81 12346 192.168.0.81 12346 default up 0:04:38:32
1 vedge dtls 5.5.5.5 2 1 192.168.0.84 12346 192.168.0.84 12346 biz-internet up 0:04:28:42
1 vedge dtls 6.6.6.6 3 1 192.168.0.85 12346 192.168.0.85 12346 biz-internet up 0:04:41:21
1 vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 default up 0:04:42:19
Show bảng route trên vSmart được cập nhật từ các router
vSmart# show omp routes |tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 5.5.5.5 68 1002 C,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 6.6.6.6 68 1002 C,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 7.7.7.7 68 1002 C,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 5.5.5.5 68 1002 C,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 6.6.6.6 68 1002 C,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 7.7.7.7 68 1002 C,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 5.5.5.5 68 1003 C,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 6.6.6.6 68 1003 C,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 7.7.7.7 68 1003 C,R installed 7.7.7.7 biz-internet ipsec -
Show bảng route trên các router vEdge được cập nhật từ vSmart
vedge_VNE_1# show omp routes | tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 0.0.0.0 68 1002 C,Red,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 2.2.2.2 2 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 2.2.2.2 5 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 0.0.0.0 68 1002 C,Red,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 2.2.2.2 1 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 2.2.2.2 4 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 0.0.0.0 68 1003 C,Red,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 2.2.2.2 3 1003 C,I,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 2.2.2.2 6 1003 C,I,R installed 7.7.7.7 biz-internet ipsec -
vedge_VNE_2# show omp routes | tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 2.2.2.2 5 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 0.0.0.0 68 1002 C,Red,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 2.2.2.2 2 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 2.2.2.2 4 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 0.0.0.0 68 1002 C,Red,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 2.2.2.2 1 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 2.2.2.2 6 1003 C,I,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 0.0.0.0 68 1003 C,Red,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 2.2.2.2 3 1003 C,I,R installed 7.7.7.7 biz-internet ipsec -
vedge_VNE_3# show omp routes |tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 2.2.2.2 5 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 2.2.2.2 2 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 0.0.0.0 68 1002 C,Red,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 2.2.2.2 4 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 2.2.2.2 1 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 0.0.0.0 68 1002 C,Red,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 2.2.2.2 6 1003 C,I,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 2.2.2.2 3 1003 C,I,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 0.0.0.0 68 1003 C,Red,R installed 7.7.7.7 biz-internet ipsec -
Ping test thử trên service VPN 1,2 từ vEdge_VNE_1 đến 2 router còn lại.
vedge_VNE_1# ping vpn 1 10.10.30.1 Ping in VPN 1 PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data. 64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=417 ms 64 bytes from 10.10.30.1: icmp_seq=2 ttl=64 time=8.78 ms 64 bytes from 10.10.30.1: icmp_seq=3 ttl=64 time=0.537 ms 64 bytes from 10.10.30.1: icmp_seq=4 ttl=64 time=125 ms 64 bytes from 10.10.30.1: icmp_seq=5 ttl=64 time=188 ms ^C --- 10.10.30.1 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4106ms rtt min/avg/max/mdev = 0.537/148.202/417.063/152.094 ms vedge_VNE_1# ping vpn 1 10.10.20.1 Ping in VPN 1 PING 10.10.20.1 (10.10.20.1) 56(84) bytes of data. 64 bytes from 10.10.20.1: icmp_seq=1 ttl=64 time=164 ms 64 bytes from 10.10.20.1: icmp_seq=2 ttl=64 time=248 ms 64 bytes from 10.10.20.1: icmp_seq=3 ttl=64 time=82.6 ms ^C --- 10.10.20.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2000ms rtt min/avg/max/mdev = 82.639/165.225/248.730/67.811 ms vedge_VNE_1# ping vpn 2 20.10.30.1 Ping in VPN 2 PING 20.10.30.1 (20.10.30.1) 56(84) bytes of data. 64 bytes from 20.10.30.1: icmp_seq=1 ttl=64 time=55.0 ms 64 bytes from 20.10.30.1: icmp_seq=2 ttl=64 time=287 ms 64 bytes from 20.10.30.1: icmp_seq=3 ttl=64 time=159 ms 64 bytes from 20.10.30.1: icmp_seq=4 ttl=64 time=43.6 ms ^C --- 20.10.30.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3001ms rtt min/avg/max/mdev = 43.664/136.380/287.220/98.111 ms