Cart is empty
Khái niệm, giải pháp và cấu hình thiết bị mạngGiải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco SD-WAN cơ bản
Giải pháp Cisco SD-WAN Viptela và lab cấu hình Cisco SD-WAN cơ bản
Như chúng ta đã biết hệ thống mạng truyền dẫn IP bao gồm 2 thành phần chính là lớp điều khiển (control plane) và lớp truyền tải dữ liệu (data plane). Các mạng wan thông thường chức năng điều khiển và truyền tải nằm tại router; trong khi mạng kiểu sd-wan sẽ tách phần chức năng điều khiển ra khỏi router và được quản lý điều khiển chọn đường một cách tập trung; việc này giúp việc chọn đường một cách linh hoạt và tối ưu.
Mời xem thêm khái niệm mạng sd-wan
Giải pháp mạng Cisco SD-WAN Viptela
Là giải pháp mạng sd-wan cấp doanh nghiệp giúp thuận tiện trong việc chuyển đổi số, sử dụng đám mây. Mạng triển khai linh hoạt; tính tự động hóa cao; triển khai nhanh và không phụ thuộc mạng truyền dẫn. Mạng tích hợp đầy đủ việc định tuyến; xác thực thành phần tham gia mạng; bảo mật đường truyền; chọn đường linh hoạt theo: ứng dụng, chất lượng đường truyền hoặc tình trạng mạng.
Kiến trúc mạng Cisco sd-wan Viptela ngoài 2 phần chính là control và data còn thêm phần management (vManage) và orchestration (vBond)
- vManage: Đây là hệ thống quản lý tập trung (Management Plane) của toàn bộ giải pháp Cisco SD-WAN. vManage cung cấp giao diện người dùng đồ họa (GUI) duy nhất để cấu hình, giám sát, khắc phục sự cố và bảo trì tất cả các thiết bị Cisco SD-WAN trong mạng. Nó cho phép quản trị viên định nghĩa các chính sách (policies) và triển khai chúng trên toàn mạng, đơn giản hóa đáng kể việc vận hành. vManage cũng thu thập dữ liệu từ mạng để phân tích và báo cáo hiệu suất.
- vBond: vBond là thành phần điều phối (Orchestration Plane). Chức năng chính của nó là xác thực và điều phối kết nối ban đầu giữa các router biên vEdge, vSmart và vManage. Khi một router biên mới tham gia mạng SD-WAN, nó sẽ liên hệ với vBond để được xác thực và nhận thông tin về vManage và vSmart Controllers. vBond giúp thiết lập các kết nối ban đầu một cách an toàn, ngay cả khi các thiết bị nằm sau NAT.
- vSmart: Thành phần này đóng vai trò là bộ điều khiển tập trung (Control Plane). vSmart thiết lập và duy trì kết nối bảo mật đến tất cả các router biên (vEdge) trong mạng SD-WAN. Nó sử dụng giao thức Overlay Management Protocol (OMP) để trao đổi thông tin định tuyến, chính sách và thông tin cần thiết khác giữa các router biên. vSmart đưa ra các quyết định về đường đi của dữ liệu dựa trên các chính sách đã được cấu hình trên vManage, cho phép định tuyến theo ứng dụng (Application-aware Routing) và tối ưu hóa hiệu suất.
- vEdge/cEdge (vEdge là router chạy hệ điều hành Viptela OS, cEdge router chạy hệ điều hành Cisco IOS XE): Đây là các thiết bị biên (Data Plane) được triển khai tại các chi nhánh, trung tâm dữ liệu hoặc trên nền tảng đám mây. Chúng chịu trách nhiệm chuyển tiếp lưu lượng dữ liệu dựa trên các chính sách và thông tin định tuyến nhận được từ vSmart, hỗ trợ nhiều loại kết nối WAN khác nhau (MPLS, Internet băng thông rộng, LTE,...) và thiết lập các đường hầm bảo mật (ví dụ: IPsec) để tạo mạng overlay. Chúng cũng thực thi các chính sách bảo mật, QoS và định tuyến cục bộ.
Ngoài ra còn có thành phần vAnalytics, cung cấp khả năng phân tích chuyên sâu về hiệu suất mạng và ứng dụng, giúp quản trị viên đưa ra quyết định tối ưu hóa và khắc phục sự cố hiệu quả hơn.
LAB triển khai mạng Cisco sd-wan Viptela với 3 site:
Các khái niệm cơ bản khi cấu hình:
- Site ID: Một số nhận dạng duy nhất (từ 1 đến 4294967295) cho một vị trí vật lý (như trụ sở chính, chi nhánh, trung tâm dữ liệu) trong mạng SD-WAN overlay. Tất cả các thiết bị SD-WAN (vEdge/cEdge) tại cùng một địa điểm phải có cùng Site ID. Nó giúp vSmart Controller nhận biết nguồn gốc của các route và áp dụng chính sách theo từng địa điểm.
- OU (Organization Unit): Đơn vị Tổ chức. Trong Cisco SD-WAN, OU thường liên quan đến tài khoản Smart Account và cách các thiết bị được quản lý và cấp phép. Nó đại diện cho một thực thể tổ chức hoặc một phần của tổ chức sở hữu và quản lý mạng SD-WAN.
- System IP: Là địa chỉ IP duy nhất được gán cho mỗi thiết bị trong mạng SD-WAN (vManage, vSmart, vBond, vEdge/cEdge). Nó giống như một Router ID, được sử dụng bởi giao thức OMP (Overlay Management Protocol) để nhận dạng và thiết lập quan hệ láng giềng giữa các thiết bị điều khiển và router biên. System IP là một địa chỉ IP ảo, không được cấu hình trên giao diện vật lý nào, và phải là duy nhất trong toàn bộ mạng overlay.
- Service VPN: Là các mạng riêng ảo (VPN) được tạo ra để phân tách lưu lượng dữ liệu của người dùng hoặc ứng dụng trong mạng SD-WAN. Mỗi Service VPN tương ứng với một bảng định tuyến riêng (giống như VRF). Lưu lượng trong một Service VPN được giữ tách biệt với các VPN khác, đảm bảo an ninh và tuân thủ chính sách. Các số VPN từ 1 đến 511 và 513 đến 65530 thường được dùng cho các Service VPN.
- VPN 0: Là VPN Transport mặc định và không thể xóa. Nó chứa các giao diện kết nối với mạng WAN vật lý (underlay) như Internet, MPLS. VPN 0 chịu trách nhiệm mang lưu lượng mặt phẳng điều khiển (từ vEdge/cEdge đến vSmart và vBond) và thiết lập các đường hầm data plane giữa các vEdge/cEdge. Các thiết bị vEdge/cEdge bắt buộc phải có ít nhất một giao diện trong VPN 0 để tham gia vào mạng SD-WAN overlay.
- VPN 512: Là VPN Management mặc định và không thể xóa. Nó được sử dụng cho mục đích quản lý out-of-band, ví dụ: truy cập thiết bị thông qua vManage hoặc SSH/Telnet đến địa chỉ IP quản lý. Lưu lượng trong VPN 512 không đi qua mạng overlay SD-WAN thông thường mà sử dụng đường truyền quản lý riêng.
Các bước thực hiện:
1, Quy hoạch mạng
Tên tổ chức OU: VNE
2, Cài đặt vManage, vSmart, vBond, cài đặt các chứng chỉ số.
Cấu hình cơ bản của vManage, vBond, vSmart:
vManage# sho run
system
host-name vManage
system-ip 1.1.1.1
site-id 10
admin-tech-on-failure
sp-organization-name VNE
organization-name VNE
vbond 192.168.0.83
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$ODc9uY6W5DhZFdH
!
!
logging
disk
enable
!
!
!
vpn 0
interface eth0
ip address 192.168.0.81/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service stun
allow-service https
!
no shutdown
!
!
vpn 512
!
(END)
vBond# sho run
system
host-name vBond
system-ip 3.3.3.3
site-id 10
admin-tech-on-failure
no route-consistency-check
organization-name VNE
vbond 192.168.0.83 local vbond-only
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
!task security read
usergroup tenantadmin
user admin
password $6$KtpDcYSYK..maIa
!
!
logging
disk
enable
!
!
!
omp
graceful-restart
advertise connected
!advertise static
security
ipsec
authentication-type ah-sha1-hmac sha1-hmac
!
!
vpn 0
interface ge0/0
ip address 192.168.0.83/24
ipv6 dhcp-client
tunnel-interface
encapsulation ipsec
allow-service dhcpgp
allow-service dns
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
!
vpn 512
interface eth0
no shutdownent
!
(END)
vSmart# sho run
system
host-name vSmart
system-ip 2.2.2.2
site-id 10
admin-tech-on-failure
organization-name VNE
vbond 192.168.0.83
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$nuAi3ZX4S8qz6vaJ$
!
!
logging
disk
enable
!
!
!
omp
no shutdown
graceful-restart
!
vpn 0
interface eth0
ip address 192.168.0.82/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service stun
!
no shutdown
!
!
vpn 512
!
(END)
4, Đưa router gia nhập mạng: cấu hình template trên vManage và đẩy xuống vEdge router; việc tạo template giúp việc triển khai cấu hình cho cả loạt thiết bị được nhanh chóng.
Tạo feature template
Tạo vEdge router template từ các feature template.
Áp vEdge template từ vManage xuống cả 3 vEdge router
5, Show thông tin và test thử
Show thông tin tại DASHBOARD
Show control connections
vedge_VNE_1# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 2.2.2.2 10 1 192.168.0.82 12446 192.168.0.82 12446 biz-internet No up 0:00:26:44 0
vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 biz-internet - up 0:00:26:45 0
vmanage dtls 1.1.1.1 10 0 192.168.0.81 12446 192.168.0.81 12446 biz-internet No up 0:00:26:43 0
vSmart# show control connections
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB
INDEX TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE UPTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vedge dtls 7.7.7.7 4 1 192.168.0.86 12346 192.168.0.86 12346 biz-internet up 0:04:40:22
0 vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 default up 0:04:42:19
0 vmanage dtls 1.1.1.1 10 0 192.168.0.81 12346 192.168.0.81 12346 default up 0:04:38:32
1 vedge dtls 5.5.5.5 2 1 192.168.0.84 12346 192.168.0.84 12346 biz-internet up 0:04:28:42
1 vedge dtls 6.6.6.6 3 1 192.168.0.85 12346 192.168.0.85 12346 biz-internet up 0:04:41:21
1 vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 default up 0:04:42:19
Show bảng route trên vSmart được cập nhật từ các router
vSmart# show omp routes |tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 5.5.5.5 68 1002 C,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 6.6.6.6 68 1002 C,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 7.7.7.7 68 1002 C,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 5.5.5.5 68 1002 C,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 6.6.6.6 68 1002 C,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 7.7.7.7 68 1002 C,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 5.5.5.5 68 1003 C,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 6.6.6.6 68 1003 C,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 7.7.7.7 68 1003 C,R installed 7.7.7.7 biz-internet ipsec -
Show bảng route trên các router vEdge được cập nhật từ vSmart
vedge_VNE_1# show omp routes | tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 0.0.0.0 68 1002 C,Red,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 2.2.2.2 2 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 2.2.2.2 5 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 0.0.0.0 68 1002 C,Red,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 2.2.2.2 1 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 2.2.2.2 4 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 0.0.0.0 68 1003 C,Red,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 2.2.2.2 3 1003 C,I,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 2.2.2.2 6 1003 C,I,R installed 7.7.7.7 biz-internet ipsec -
vedge_VNE_2# show omp routes | tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 2.2.2.2 5 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 0.0.0.0 68 1002 C,Red,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 2.2.2.2 2 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 2.2.2.2 4 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 0.0.0.0 68 1002 C,Red,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 2.2.2.2 1 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 2.2.2.2 6 1003 C,I,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 0.0.0.0 68 1003 C,Red,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 2.2.2.2 3 1003 C,I,R installed 7.7.7.7 biz-internet ipsec -
vedge_VNE_3# show omp routes |tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 2.2.2.2 5 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 2.2.2.2 2 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 0.0.0.0 68 1002 C,Red,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 2.2.2.2 4 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 2.2.2.2 1 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 0.0.0.0 68 1002 C,Red,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 2.2.2.2 6 1003 C,I,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 2.2.2.2 3 1003 C,I,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 0.0.0.0 68 1003 C,Red,R installed 7.7.7.7 biz-internet ipsec -
Ping test thử trên service VPN 1,2 từ vEdge_VNE_1 đến 2 router còn lại.
vedge_VNE_1# ping vpn 1 10.10.30.1 Ping in VPN 1 PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data. 64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=417 ms 64 bytes from 10.10.30.1: icmp_seq=2 ttl=64 time=8.78 ms 64 bytes from 10.10.30.1: icmp_seq=3 ttl=64 time=0.537 ms 64 bytes from 10.10.30.1: icmp_seq=4 ttl=64 time=125 ms 64 bytes from 10.10.30.1: icmp_seq=5 ttl=64 time=188 ms ^C --- 10.10.30.1 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4106ms rtt min/avg/max/mdev = 0.537/148.202/417.063/152.094 ms vedge_VNE_1# ping vpn 1 10.10.20.1 Ping in VPN 1 PING 10.10.20.1 (10.10.20.1) 56(84) bytes of data. 64 bytes from 10.10.20.1: icmp_seq=1 ttl=64 time=164 ms 64 bytes from 10.10.20.1: icmp_seq=2 ttl=64 time=248 ms 64 bytes from 10.10.20.1: icmp_seq=3 ttl=64 time=82.6 ms ^C --- 10.10.20.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2000ms rtt min/avg/max/mdev = 82.639/165.225/248.730/67.811 ms vedge_VNE_1# ping vpn 2 20.10.30.1 Ping in VPN 2 PING 20.10.30.1 (20.10.30.1) 56(84) bytes of data. 64 bytes from 20.10.30.1: icmp_seq=1 ttl=64 time=55.0 ms 64 bytes from 20.10.30.1: icmp_seq=2 ttl=64 time=287 ms 64 bytes from 20.10.30.1: icmp_seq=3 ttl=64 time=159 ms 64 bytes from 20.10.30.1: icmp_seq=4 ttl=64 time=43.6 ms ^C --- 20.10.30.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3001ms rtt min/avg/max/mdev = 43.664/136.380/287.220/98.111 ms