Cart is empty
Kiến thức - Kỹ thuậtLab cấu hình Cisco SD-WAN Viptela: Triển khai vManage, vBond, vSmart và vEdge
Lab cấu hình Cisco SD-WAN Viptela: Triển khai vManage, vBond, vSmart và vEdge
Cisco SD-WAN Viptela là gì?
Cisco SD-WAN Viptela là giải pháp Software-Defined WAN cho phép doanh nghiệp xây dựng mạng WAN linh hoạt, bảo mật và dễ quản lý thông qua cơ chế điều khiển tập trung. Công nghệ này tạo ra một overlay network chạy trên nhiều loại kết nối khác nhau như MPLS, Internet broadband, LTE hoặc VSAT.
Tìm hiểu thêm Cisco SD-WAN Viptela là gì? Giải pháp SD-WAN cho hệ thống mạng doanh nghiệp
1. Mô hình LAB Cisco SD-WAN Viptela
Trong bài LAB này, chúng ta triển khai một mô hình Cisco SD-WAN Viptela cơ bản với 3 site nhằm minh họa cách hoạt động của hệ thống SD-WAN.
Kiến trúc Cisco SD-WAN tách riêng các thành phần Management, Control và Data Plane, giúp quản lý mạng WAN linh hoạt và tối ưu hơn so với mô hình WAN truyền thống.
Mô hình LAB bao gồm các thành phần chính:
-
vManage (Management Plane)
-
vBond (Orchestration Plane)
-
vSmart (Control Plane)
-
vEdge routers (Data Plane)
Các thiết bị này kết hợp với nhau để tạo thành SD-WAN overlay network kết nối các site thông qua các đường truyền WAN như Internet hoặc MPLS.
2. Topology LAB Cisco SD-WAN
LAB được thiết kế với 3 site mạng:
-
Site 1 – vEdge Router
-
Site 2 – vEdge Router
-
Site 3 – vEdge Router
Các router vEdge sẽ kết nối tới vSmart controller thông qua các kênh control và data plane được mã hóa.
Các controller trong LAB gồm:
-
vManage – hệ thống quản lý và cấu hình tập trung
-
vBond – xác thực thiết bị khi tham gia mạng SD-WAN
-
vSmart – phân phối route và chính sách định tuyến
Trong quá trình khởi tạo hệ thống, router edge sẽ xác thực với vBond, sau đó thiết lập kết nối bảo mật tới vSmart và vManage để nhận cấu hình.
LAB triển khai mạng Cisco sd-wan Viptela với 3 site:
3. Các khái niệm quan trọng trong Cisco SD-WAN
Trước khi cấu hình LAB, cần hiểu một số khái niệm cơ bản trong Cisco SD-WAN.
3.1 Site ID
Site ID là số định danh của một địa điểm trong mạng SD-WAN.
-
Mỗi site phải có Site ID riêng
-
Các thiết bị trong cùng site sử dụng cùng Site ID
Site ID giúp controller xác định nguồn gốc của route và áp dụng chính sách phù hợp.
3.2 System IP
System IP là địa chỉ IP logic dùng để định danh mỗi thiết bị trong mạng SD-WAN.
Đặc điểm:
-
giống Router ID trong các giao thức định tuyến
-
phải duy nhất trong toàn hệ thống SD-WAN
-
được sử dụng để thiết lập quan hệ control giữa các thiết bị.
3.3 Organization Name
Organization Name là tên tổ chức được cấu hình cho toàn bộ hệ thống SD-WAN.
Tất cả các thiết bị trong hệ thống phải sử dụng cùng Organization Name, nếu không các kết nối control sẽ không được thiết lập.
4. Các bước triển khai LAB Cisco SD-WAN Viptela
Quy trình triển khai SD-WAN thường thực hiện theo các bước sau:
-
Khởi tạo controller (vManage, vBond, vSmart)
-
Thiết lập kết nối control plane
-
Onboard router vEdge
-
Thiết lập OMP routing
-
Kiểm tra overlay network
5. Triển khai cấu hình
5.1, Quy hoạch mạng, gán địa chỉ IP
Tên tổ chức OU: VNE
5.2 Cài đặt vManage, vSmart, vBond, cài đặt các chứng chỉ số.
Cấu hình cơ bản của vManage, vBond, vSmart:
vManage# sho run
system
host-name vManage
system-ip 1.1.1.1
site-id 10
admin-tech-on-failure
sp-organization-name VNE
organization-name VNE
vbond 192.168.0.83
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$ODc9uY6W5DhZFdH
!
!
logging
disk
enable
!
!
!
vpn 0
interface eth0
ip address 192.168.0.81/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service stun
allow-service https
!
no shutdown
!
!
vpn 512
!
(END)
vBond# sho run
system
host-name vBond
system-ip 3.3.3.3
site-id 10
admin-tech-on-failure
no route-consistency-check
organization-name VNE
vbond 192.168.0.83 local vbond-only
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
!task security read
usergroup tenantadmin
user admin
password $6$KtpDcYSYK..maIa
!
!
logging
disk
enable
!
!
!
omp
graceful-restart
advertise connected
!advertise static
security
ipsec
authentication-type ah-sha1-hmac sha1-hmac
!
!
vpn 0
interface ge0/0
ip address 192.168.0.83/24
ipv6 dhcp-client
tunnel-interface
encapsulation ipsec
allow-service dhcpgp
allow-service dns
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
!
no shutdown
!
!
vpn 512
interface eth0
no shutdownent
!
(END)
vSmart# sho run
system
host-name vSmart
system-ip 2.2.2.2
site-id 10
admin-tech-on-failure
organization-name VNE
vbond 192.168.0.83
aaa
auth-order local radius tacacs
usergroup basic
task system read write
task interface read write
!
usergroup netadmin
!
usergroup operator
task system read
task interface read
task policy read
task routing read
task security read
!
usergroup tenantadmin
!
user admin
password $6$nuAi3ZX4S8qz6vaJ$
!
!
logging
disk
enable
!
!
!
omp
no shutdown
graceful-restart
!
vpn 0
interface eth0
ip address 192.168.0.82/24
ipv6 dhcp-client
tunnel-interface
allow-service all
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service stun
!
no shutdown
!
!
vpn 512
!
(END)
Cập nhật authorized WAN Edge serial number
Đưa router gia nhập mạng:
cấu hình template trên vManage và đẩy xuống vEdge router; việc tạo template giúp việc triển khai cấu hình cho cả loạt thiết bị được nhanh chóng.
Tạo feature template
Tạo vEdge router template từ các feature template.
Áp vEdge template từ vManage xuống cả 3 vEdge router
5.3 Show thông tin và test thử
Show thông tin tại DASHBOARD
Show control connections
vedge_VNE_1# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 2.2.2.2 10 1 192.168.0.82 12446 192.168.0.82 12446 biz-internet No up 0:00:26:44 0
vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 biz-internet - up 0:00:26:45 0
vmanage dtls 1.1.1.1 10 0 192.168.0.81 12446 192.168.0.81 12446 biz-internet No up 0:00:26:43 0
vSmart# show control connections
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB
INDEX TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE UPTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vedge dtls 7.7.7.7 4 1 192.168.0.86 12346 192.168.0.86 12346 biz-internet up 0:04:40:22
0 vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 default up 0:04:42:19
0 vmanage dtls 1.1.1.1 10 0 192.168.0.81 12346 192.168.0.81 12346 default up 0:04:38:32
1 vedge dtls 5.5.5.5 2 1 192.168.0.84 12346 192.168.0.84 12346 biz-internet up 0:04:28:42
1 vedge dtls 6.6.6.6 3 1 192.168.0.85 12346 192.168.0.85 12346 biz-internet up 0:04:41:21
1 vbond dtls 0.0.0.0 0 0 192.168.0.83 12346 192.168.0.83 12346 default up 0:04:42:19
Show bảng route trên vSmart được cập nhật từ các router
vSmart# show omp routes |tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 5.5.5.5 68 1002 C,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 6.6.6.6 68 1002 C,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 7.7.7.7 68 1002 C,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 5.5.5.5 68 1002 C,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 6.6.6.6 68 1002 C,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 7.7.7.7 68 1002 C,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 5.5.5.5 68 1003 C,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 6.6.6.6 68 1003 C,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 7.7.7.7 68 1003 C,R installed 7.7.7.7 biz-internet ipsec -
Show bảng route trên các router vEdge được cập nhật từ vSmart
vedge_VNE_1# show omp routes | tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 0.0.0.0 68 1002 C,Red,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 2.2.2.2 2 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 2.2.2.2 5 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 0.0.0.0 68 1002 C,Red,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 2.2.2.2 1 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 2.2.2.2 4 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 0.0.0.0 68 1003 C,Red,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 2.2.2.2 3 1003 C,I,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 2.2.2.2 6 1003 C,I,R installed 7.7.7.7 biz-internet ipsec -
vedge_VNE_2# show omp routes | tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 2.2.2.2 5 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 0.0.0.0 68 1002 C,Red,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 2.2.2.2 2 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 2.2.2.2 4 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 0.0.0.0 68 1002 C,Red,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 2.2.2.2 1 1002 C,I,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 2.2.2.2 6 1003 C,I,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 0.0.0.0 68 1003 C,Red,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 2.2.2.2 3 1003 C,I,R installed 7.7.7.7 biz-internet ipsec -
vedge_VNE_3# show omp routes |tab
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
1 5.5.5.5/32 2.2.2.2 5 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 6.6.6.6/32 2.2.2.2 2 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 7.7.7.7/32 0.0.0.0 68 1002 C,Red,R installed 7.7.7.7 biz-internet ipsec -
1 10.10.10.0/24 2.2.2.2 4 1002 C,I,R installed 5.5.5.5 biz-internet ipsec -
1 10.10.20.0/24 2.2.2.2 1 1002 C,I,R installed 6.6.6.6 biz-internet ipsec -
1 10.10.30.0/24 0.0.0.0 68 1002 C,Red,R installed 7.7.7.7 biz-internet ipsec -
2 20.10.10.0/24 2.2.2.2 6 1003 C,I,R installed 5.5.5.5 biz-internet ipsec -
2 20.10.20.0/24 2.2.2.2 3 1003 C,I,R installed 6.6.6.6 biz-internet ipsec -
2 20.10.30.0/24 0.0.0.0 68 1003 C,Red,R installed 7.7.7.7 biz-internet ipsec -
Ping test thử trên service VPN 1,2 từ vEdge_VNE_1 đến 2 router còn lại.
vedge_VNE_1# ping vpn 1 10.10.30.1 Ping in VPN 1 PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data. 64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=417 ms 64 bytes from 10.10.30.1: icmp_seq=2 ttl=64 time=8.78 ms 64 bytes from 10.10.30.1: icmp_seq=3 ttl=64 time=0.537 ms 64 bytes from 10.10.30.1: icmp_seq=4 ttl=64 time=125 ms 64 bytes from 10.10.30.1: icmp_seq=5 ttl=64 time=188 ms ^C --- 10.10.30.1 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4106ms rtt min/avg/max/mdev = 0.537/148.202/417.063/152.094 ms vedge_VNE_1# ping vpn 1 10.10.20.1 Ping in VPN 1 PING 10.10.20.1 (10.10.20.1) 56(84) bytes of data. 64 bytes from 10.10.20.1: icmp_seq=1 ttl=64 time=164 ms 64 bytes from 10.10.20.1: icmp_seq=2 ttl=64 time=248 ms 64 bytes from 10.10.20.1: icmp_seq=3 ttl=64 time=82.6 ms ^C --- 10.10.20.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2000ms rtt min/avg/max/mdev = 82.639/165.225/248.730/67.811 ms vedge_VNE_1# ping vpn 2 20.10.30.1 Ping in VPN 2 PING 20.10.30.1 (20.10.30.1) 56(84) bytes of data. 64 bytes from 20.10.30.1: icmp_seq=1 ttl=64 time=55.0 ms 64 bytes from 20.10.30.1: icmp_seq=2 ttl=64 time=287 ms 64 bytes from 20.10.30.1: icmp_seq=3 ttl=64 time=159 ms 64 bytes from 20.10.30.1: icmp_seq=4 ttl=64 time=43.6 ms ^C --- 20.10.30.1 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3001ms rtt min/avg/max/mdev = 43.664/136.380/287.220/98.111 ms
6. Kết luận
LAB Cisco SD-WAN Viptela giúp hiểu rõ cách hoạt động của kiến trúc SD-WAN trong môi trường thực tế.
Thông qua việc triển khai các controller như vManage, vBond, vSmart và router vEdge, chúng ta có thể quan sát cách hệ thống:
-
xác thực thiết bị
-
thiết lập control plane
-
trao đổi route qua OMP
-
xây dựng mạng WAN overlay bảo mật.
Việc thực hành LAB là bước quan trọng để nắm vững cách triển khai Cisco SD-WAN trong hệ thống mạng doanh nghiệp.
