Giải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco sdwan cơ bản

Khái niệm, giải pháp và cấu hình thiết bị mạng

Giải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco SD-WAN cơ bản

Như chúng ta đã biết hệ thống mạng truyền dẫn IP bao gồm 2 thành phần chính là lớp điều khiển (control plane) và lớp truyền tải dữ liệu (data plane). Các mạng wan thông thường chức năng điều khiển và truyền tải nằm tại router; trong khi mạng kiểu sd-wan sẽ tách phần chức năng điều khiển ra khỏi router và được quản lý điều khiển chọn đường một cách tập trung; việc này giúp việc chọn đường một cách linh hoạt và tối ưu.

Mời xem thêm khái niệm mạng sd-wan

Giải pháp mạng Cisco SD-WAN Viptela

Là giải pháp mạng sd-wan cấp doanh nghiệp giúp thuận tiện trong việc chuyển đổi số, sử dụng đám mây. Mạng triển khai linh hoạt; tính tự động hóa cao; triển khai nhanh và không phụ thuộc mạng truyền dẫn. Mạng tích hợp đầy đủ việc định tuyến; xác thực thành phần tham gia mạng; bảo mật đường truyền; chọn đường linh hoạt theo: ứng dụng, chất lượng đường truyền hoặc tình trạng mạng.

Kiến trúc mạng cisco sdwan

Kiến trúc mạng Cisco sd-wan Viptela ngoài 2 phần chính là control và data còn thêm phần management (vManage) và orchestration (vBond)

- vManage: Đây là hệ thống quản lý tập trung (Management Plane) của toàn bộ giải pháp Cisco SD-WAN. vManage cung cấp giao diện người dùng đồ họa (GUI) duy nhất để cấu hình, giám sát, khắc phục sự cố và bảo trì tất cả các thiết bị Cisco SD-WAN trong mạng. Nó cho phép quản trị viên định nghĩa các chính sách (policies) và triển khai chúng trên toàn mạng, đơn giản hóa đáng kể việc vận hành. vManage cũng thu thập dữ liệu từ mạng để phân tích và báo cáo hiệu suất.

- vBond: vBond là thành phần điều phối (Orchestration Plane). Chức năng chính của nó là xác thực và điều phối kết nối ban đầu giữa các router biên vEdge, vSmart và vManage. Khi một router biên mới tham gia mạng SD-WAN, nó sẽ liên hệ với vBond để được xác thực và nhận thông tin về vManage và vSmart Controllers. vBond giúp thiết lập các kết nối ban đầu một cách an toàn, ngay cả khi các thiết bị nằm sau NAT.

- vSmart: Thành phần này đóng vai trò là bộ điều khiển tập trung (Control Plane). vSmart thiết lập và duy trì kết nối bảo mật đến tất cả các router biên (vEdge) trong mạng SD-WAN. Nó sử dụng giao thức Overlay Management Protocol (OMP) để trao đổi thông tin định tuyến, chính sách và thông tin cần thiết khác giữa các router biên. vSmart đưa ra các quyết định về đường đi của dữ liệu dựa trên các chính sách đã được cấu hình trên vManage, cho phép định tuyến theo ứng dụng (Application-aware Routing) và tối ưu hóa hiệu suất.

- vEdge: Đây là các thiết bị biên (Data Plane) được triển khai tại các chi nhánh, trung tâm dữ liệu hoặc trên nền tảng đám mây. Chúng chịu trách nhiệm chuyển tiếp lưu lượng dữ liệu dựa trên các chính sách và thông tin định tuyến nhận được từ vSmart, hỗ trợ nhiều loại kết nối WAN khác nhau (MPLS, Internet băng thông rộng, LTE,...) và thiết lập các đường hầm bảo mật (ví dụ: IPsec) để tạo mạng overlay. Chúng cũng thực thi các chính sách bảo mật, QoS và định tuyến cục bộ.

Ngoài ra còn có thành phần vAnalytics, cung cấp khả năng phân tích chuyên sâu về hiệu suất mạng và ứng dụng, giúp quản trị viên đưa ra quyết định tối ưu hóa và khắc phục sự cố hiệu quả hơn.

LAB triển khai mạng Cisco sd-wan Viptela với 3 site:

Lab cisco sdwan

Các bước thực hiện:

1, Quy hoạch mạng

Tên tổ chức OU: VNE

2, Cài đặt vManage, vSmart, vBond, cài đặt các chứng chỉ số.

cisco sdwan controller

Cấu hình cơ bản của vManage, vBond, vSmart:

vManage# sho run
system
 host-name             vManage
 system-ip             1.1.1.1
 site-id               10
 admin-tech-on-failure
 sp-organization-name  VNE
 organization-name     VNE
 vbond 192.168.0.83
 aaa
  auth-order local radius tacacs
  usergroup basic
   task system read write
   task interface read write
  !
  usergroup netadmin
  !
  usergroup operator
   task system read
   task interface read
   task policy read
   task routing read
   task security read
  !
  usergroup tenantadmin
  !
  user admin
   password $6$ODc9uY6W5DhZFdH
  !
 !
 logging
  disk
   enable
  !
 !
!
vpn 0
 interface eth0
  ip address 192.168.0.81/24
  ipv6 dhcp-client
  tunnel-interface
   allow-service all
   allow-service dhcp
   allow-service dns
   allow-service icmp
   allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service stun
   allow-service https
  !
  no shutdown
 !
!
vpn 512
!
(END)


vBond# sho run                                                                               
system                                                                                       
 host-name               vBond                                                               
 system-ip               3.3.3.3                                                             
 site-id                 10                                                                  
 admin-tech-on-failure                                                                       
 no route-consistency-check                                                                  
 organization-name       VNE                                                                 
 vbond 192.168.0.83 local vbond-only                                                         
  auth-order local radius tacacs                                                             
                                                                                             
  usergroup basic                                                                            
   task system read write                                                                    
   task interface read write                                                                 
  !                                                                                          
  usergroup netadmin                                                                         
  !                                                                                          
  usergroup operator                                                                         
   task system read                                                                          
   task interface read                                                                       
   task policy read                                                                          
   task routing read                                                                         
  !task security read                                                                        
                                                                                             
  usergroup tenantadmin
  user admin                                                                                 
                                                                                             
   password $6$KtpDcYSYK..maIa                       
  !                                                                                          
 !                                                                                           
 logging                                                                                     
  disk                                                                                       
   enable                                                                                    
  !                                                                                          
 !                                                                                           
!                                                                                            
omp                                                                                          
 graceful-restart                                                                            
                                                                                             
 advertise connected                                                                         
!advertise static                                                                            
                                                                                             
security                                                                                     
 ipsec                                                                                       
  authentication-type ah-sha1-hmac sha1-hmac                                                 
 !                                                                                           
!
vpn 0                                                                                        
 interface ge0/0                                                                             
  ip address 192.168.0.83/24                                                                 
  ipv6 dhcp-client                                                                           
  tunnel-interface                                                                           
   encapsulation ipsec                                                                       
   allow-service dhcpgp                                                                      
                                                                                             
   allow-service dns                                                                         
   no allow-service sshd                                                                     
                                                                                             
   no allow-service netconf                                                                  
   no allow-service ntp                                                                      
   no allow-service ospf                                                                     
   no allow-service stun                                                                     
   allow-service https                                                                       
  !                                                                                          
  no shutdown                                                                                
 !                                                                                           
!                                                                                            
vpn 512                                                                                      
 interface eth0                                                                              
  no shutdownent
                                                                                             
 !                                                                                                                
(END)


vSmart# sho run
system
 host-name             vSmart
 system-ip             2.2.2.2
 site-id               10
 admin-tech-on-failure
 organization-name     VNE
 vbond 192.168.0.83
 aaa
  auth-order local radius tacacs
  usergroup basic
   task system read write
   task interface read write
  !
  usergroup netadmin
  !
  usergroup operator
   task system read
   task interface read
   task policy read
   task routing read
   task security read
  !
  usergroup tenantadmin
  !
  user admin
   password $6$nuAi3ZX4S8qz6vaJ$
  !
 !
 logging
  disk
   enable
  !
 !
!
omp
 no shutdown
 graceful-restart
!
vpn 0
 interface eth0
  ip address 192.168.0.82/24
  ipv6 dhcp-client
  tunnel-interface
   allow-service all
   allow-service dhcp
   allow-service dns
   allow-service icmp
   no allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service stun
  !
  no shutdown
 !
!
vpn 512
!
(END)

3, Cập nhật danh sách router (authorized WAN Edge serial number file) từ tài khoản Cisco Smart Account lên vManage; mục đích của việc này đảm bảo chỉ nhưng router được xác thực mới có thể gia nhập mạng sd-wan của tổ chức đó.

vedge router list

4, Đưa router gia nhập mạng: cấu hình template trên vManage và đẩy xuống vEdge router; việc tạo template giúp việc triển khai cấu hình cho cả loạt thiết bị được nhanh chóng.

Tạo feature template

cisco sdwan feature template

Tạo vEdge router template từ các feature template.

cisco sdwan template

Áp vEdge template từ vManage xuống cả 3 vEdge router

áp cấu hình vmanage xuống router

5, Show thông tin và test thử

Show thông tin tại DASHBOARD

cisco sdwan dashboard

Show control connections

vedge_VNE_1# show control connections
                                                                                       PEER                                          PEER                                          CONTROLLER
PEER    PEER PEER            SITE       DOMAIN PEER                                    PRIV  PEER                                    PUB                                           GROUP
TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP                              PORT  PUBLIC IP                               PORT  LOCAL COLOR     PROXY STATE UPTIME      ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart  dtls 2.2.2.2         10         1      192.168.0.82                            12446 192.168.0.82                            12446 biz-internet    No    up     0:00:26:44  0
vbond   dtls 0.0.0.0         0          0      192.168.0.83                            12346 192.168.0.83                            12346 biz-internet    -     up     0:00:26:45  0
vmanage dtls 1.1.1.1         10         0      192.168.0.81                            12446 192.168.0.81                            12446 biz-internet    No    up     0:00:26:43  0

vSmart# show control connections
                                                                                             PEER                                          PEER              
      PEER    PEER PEER            SITE       DOMAIN PEER                                    PRIV  PEER                                    PUB               
INDEX TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP                              PORT  PUBLIC IP                               PORT  REMOTE COLOR     STATE UPTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0     vedge   dtls 7.7.7.7         4          1      192.168.0.86                            12346 192.168.0.86                            12346 biz-internet    up     0:04:40:22
0     vbond   dtls 0.0.0.0         0          0      192.168.0.83                            12346 192.168.0.83                            12346 default         up     0:04:42:19
0     vmanage dtls 1.1.1.1         10         0      192.168.0.81                            12346 192.168.0.81                            12346 default         up     0:04:38:32
1     vedge   dtls 5.5.5.5         2          1      192.168.0.84                            12346 192.168.0.84                            12346 biz-internet    up     0:04:28:42
1     vedge   dtls 6.6.6.6         3          1      192.168.0.85                            12346 192.168.0.85                            12346 biz-internet    up     0:04:41:21
1     vbond   dtls 0.0.0.0         0          0      192.168.0.83                            12346 192.168.0.83                            12346 default         up     0:04:42:19

Show bảng route trên vSmart được cập nhật từ các router

vSmart# show omp routes |tab
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                                            PATH                      ATTRIBUTE
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1      5.5.5.5/32          5.5.5.5          68     1002     C,R       installed  5.5.5.5          biz-internet     ipsec  -
1      6.6.6.6/32          6.6.6.6          68     1002     C,R       installed  6.6.6.6          biz-internet     ipsec  -
1      7.7.7.7/32          7.7.7.7          68     1002     C,R       installed  7.7.7.7          biz-internet     ipsec  -
1      10.10.10.0/24       5.5.5.5          68     1002     C,R       installed  5.5.5.5          biz-internet     ipsec  -
1      10.10.20.0/24       6.6.6.6          68     1002     C,R       installed  6.6.6.6          biz-internet     ipsec  -
1      10.10.30.0/24       7.7.7.7          68     1002     C,R       installed  7.7.7.7          biz-internet     ipsec  -
2      20.10.10.0/24       5.5.5.5          68     1003     C,R       installed  5.5.5.5          biz-internet     ipsec  -
2      20.10.20.0/24       6.6.6.6          68     1003     C,R       installed  6.6.6.6          biz-internet     ipsec  -
2      20.10.30.0/24       7.7.7.7          68     1003     C,R       installed  7.7.7.7          biz-internet     ipsec  -

Show bảng route trên các router vEdge được cập nhật từ vSmart

vedge_VNE_1# show omp routes | tab
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                                            PATH                      ATTRIBUTE
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1      5.5.5.5/32          0.0.0.0          68     1002     C,Red,R   installed  5.5.5.5          biz-internet     ipsec  -
1      6.6.6.6/32          2.2.2.2          2      1002     C,I,R     installed  6.6.6.6          biz-internet     ipsec  -
1      7.7.7.7/32          2.2.2.2          5      1002     C,I,R     installed  7.7.7.7          biz-internet     ipsec  -
1      10.10.10.0/24       0.0.0.0          68     1002     C,Red,R   installed  5.5.5.5          biz-internet     ipsec  -
1      10.10.20.0/24       2.2.2.2          1      1002     C,I,R     installed  6.6.6.6          biz-internet     ipsec  -
1      10.10.30.0/24       2.2.2.2          4      1002     C,I,R     installed  7.7.7.7          biz-internet     ipsec  -
2      20.10.10.0/24       0.0.0.0          68     1003     C,Red,R   installed  5.5.5.5          biz-internet     ipsec  -
2      20.10.20.0/24       2.2.2.2          3      1003     C,I,R     installed  6.6.6.6          biz-internet     ipsec  -
2      20.10.30.0/24       2.2.2.2          6      1003     C,I,R     installed  7.7.7.7          biz-internet     ipsec  -

vedge_VNE_2# show omp routes | tab
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                                            PATH                      ATTRIBUTE
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1      5.5.5.5/32          2.2.2.2          5      1002     C,I,R     installed  5.5.5.5          biz-internet     ipsec  -
1      6.6.6.6/32          0.0.0.0          68     1002     C,Red,R   installed  6.6.6.6          biz-internet     ipsec  -
1      7.7.7.7/32          2.2.2.2          2      1002     C,I,R     installed  7.7.7.7          biz-internet     ipsec  -
1      10.10.10.0/24       2.2.2.2          4      1002     C,I,R     installed  5.5.5.5          biz-internet     ipsec  -
1      10.10.20.0/24       0.0.0.0          68     1002     C,Red,R   installed  6.6.6.6          biz-internet     ipsec  -
1      10.10.30.0/24       2.2.2.2          1      1002     C,I,R     installed  7.7.7.7          biz-internet     ipsec  -
2      20.10.10.0/24       2.2.2.2          6      1003     C,I,R     installed  5.5.5.5          biz-internet     ipsec  -
2      20.10.20.0/24       0.0.0.0          68     1003     C,Red,R   installed  6.6.6.6          biz-internet     ipsec  -
2      20.10.30.0/24       2.2.2.2          3      1003     C,I,R     installed  7.7.7.7          biz-internet     ipsec  -

vedge_VNE_3# show omp routes |tab
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                                            PATH                      ATTRIBUTE
VPN    PREFIX              FROM PEER        ID     LABEL    STATUS    TYPE       TLOC IP          COLOR            ENCAP  PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1      5.5.5.5/32          2.2.2.2          5      1002     C,I,R     installed  5.5.5.5          biz-internet     ipsec  -
1      6.6.6.6/32          2.2.2.2          2      1002     C,I,R     installed  6.6.6.6          biz-internet     ipsec  -
1      7.7.7.7/32          0.0.0.0          68     1002     C,Red,R   installed  7.7.7.7          biz-internet     ipsec  -
1      10.10.10.0/24       2.2.2.2          4      1002     C,I,R     installed  5.5.5.5          biz-internet     ipsec  -
1      10.10.20.0/24       2.2.2.2          1      1002     C,I,R     installed  6.6.6.6          biz-internet     ipsec  -
1      10.10.30.0/24       0.0.0.0          68     1002     C,Red,R   installed  7.7.7.7          biz-internet     ipsec  -
2      20.10.10.0/24       2.2.2.2          6      1003     C,I,R     installed  5.5.5.5          biz-internet     ipsec  -
2      20.10.20.0/24       2.2.2.2          3      1003     C,I,R     installed  6.6.6.6          biz-internet     ipsec  -
2      20.10.30.0/24       0.0.0.0          68     1003     C,Red,R   installed  7.7.7.7          biz-internet     ipsec  -

Ping test thử trên service VPN 1,2 từ vEdge_VNE_1 đến 2 router còn lại.

vedge_VNE_1# ping vpn 1 10.10.30.1
Ping in VPN 1
PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data.
64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=417 ms
64 bytes from 10.10.30.1: icmp_seq=2 ttl=64 time=8.78 ms
64 bytes from 10.10.30.1: icmp_seq=3 ttl=64 time=0.537 ms
64 bytes from 10.10.30.1: icmp_seq=4 ttl=64 time=125 ms
64 bytes from 10.10.30.1: icmp_seq=5 ttl=64 time=188 ms
^C
--- 10.10.30.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4106ms
rtt min/avg/max/mdev = 0.537/148.202/417.063/152.094 ms

vedge_VNE_1# ping vpn 1 10.10.20.1
Ping in VPN 1
PING 10.10.20.1 (10.10.20.1) 56(84) bytes of data.
64 bytes from 10.10.20.1: icmp_seq=1 ttl=64 time=164 ms
64 bytes from 10.10.20.1: icmp_seq=2 ttl=64 time=248 ms
64 bytes from 10.10.20.1: icmp_seq=3 ttl=64 time=82.6 ms
^C
--- 10.10.20.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2000ms
rtt min/avg/max/mdev = 82.639/165.225/248.730/67.811 ms

vedge_VNE_1# ping vpn 2 20.10.30.1
Ping in VPN 2
PING 20.10.30.1 (20.10.30.1) 56(84) bytes of data.
64 bytes from 20.10.30.1: icmp_seq=1 ttl=64 time=55.0 ms
64 bytes from 20.10.30.1: icmp_seq=2 ttl=64 time=287 ms
64 bytes from 20.10.30.1: icmp_seq=3 ttl=64 time=159 ms
64 bytes from 20.10.30.1: icmp_seq=4 ttl=64 time=43.6 ms
^C
--- 20.10.30.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3001ms
rtt min/avg/max/mdev = 43.664/136.380/287.220/98.111 ms

Danh mục sản phẩm

Liên hệ | Thỏa thuận sử dụng | Chính sách bảo mật