Bài 2 SDWAN Cài đặt Vmanage- Vbond -Vsmart nhanh,dễ hiểu nhất
Dựng mô hình như này:
- image sử dụng 19.2.31 (không nên sử dụng 19.2.0 hay bị lỗi)
Có thể Download tại: http://37.156.146.163/PUB/Cisco/Management/SD-WAN/
- Ram tiêu thụ ~ 25-30 GB ram
- CPU sử dụng e2650v2
Nhiệm vụ của các thành phần bên trên(các controller):
>> Vmanage: quản lí dạng giao diện ,cho phép giám sát các thành phần khác, tạo policy, config rồi đẩy xuống các thiết bị còn lại
>> Vbond: làm cầu nối xác thực để giúp các router WAN (wan edge) gia nhập vào mạng lưới sdwan
>> Vsmart: điều khiển, phân phối routing giữa các router WAN (tương tự vai trò của Route Reflector trong BGP), ví dụ từ router WAN1 đến router WAN, service X thì đi đường này, nếu service Y thì đi đường kia.
Nội dung thực hiện:
Sau khi đặt IP để ping thông giữa các controller sang nhau, ta sẽ tạo ra các cert của mỗi thiết bị rồi đẩy lên vmanage để install cert đó.
Mục đích để các thành phần bắt tay trust nhau trước khi trao đổi thông tin.
Trên Vmanage khai báo config cơ bản:
system
host-name vManage1
system-ip 1.1.1.1 ##tương tự ip loopback
site-id 1
organization-name haiit ##tên cần đặt trùng nhau trên các device
vbond 10.0.0.2 ##ip LAN của con vbond
exit
vpn 0 ##vpn0 là kênh cho traffic chạy qua
ip route 0.0.0.0/0 10.0.0.254
interface eth0
ip address 10.0.0.1/24
no shutdown
tunnel-interface
allow-service all
exit
exit
exit
commit ##tương tự lệnh copy running start-up
Trên Vbond khai báo config cơ bản:
host-name vBond1
system-ip 2.2.2.2
site-id 1
organization-name haiit
vbond 10.0.0.2 local ##khai báo tôi chính là vbond
exit
vpn 0
ip route 0.0.0.0/0 10.0.0.254 ##route đi ra mạng ngoài
interface ge0/0
ip address 10.0.0.2/24
tunnel-interface
encapsulation ipsec##riêng vbond có lệnh này mà vmanage không có
allow-service all
no shutdown
exit
exit
exit
commit
Trên Vsmart khai báo config cơ bản:
system
host-name vSmart1
system-ip 3.3.3.3
site-id 1
organization-name haiit
vbond 10.0.0.2
exit
vpn 0
ip route 0.0.0.0/0 10.0.0.254
interface eth0
ip address 10.0.0.3/24
tunnel-interface
allow-service all
no shutdown
exit
commit
============TẠO CÁC CERT TRÊN CÁC THIẾT BỊ VÀ INSTALL CERT ĐÓ TRÊN VMANAGE=======
Phần này hơi loằng ngoằng , nếu ta làm lần đầu thì copy paste lệnh để cho các thiết bị online được trước đã, hiểu sau.
Tạo chứng chỉ CA(certificate authority) trên Vmanage:
Vào màn hình cli, gõ:
vshell
openssl genrsa -out ROOT-CA.key 2048 ##tạo ra khóa bí mật
openssl req -x509 -new -nodes -key ROOT-CA.key -sha256 -days 3652 \
-subj "/C=NL/ST=NL/O=haiit/CN=vmanage1.lab.haiit" \
-out ROOT-CA.pem ##tạo ra cert từ khóa bí mật trên
cat ROOT-CA.pem ##xem nội dung của cert
Truy cập vào web gui của vmanage từ PC_MGMT
Gõ https://10.0.0.1:8443
Đăng nhập rồi vào Administrator (hình đầu người) > Setting
Sửa mục name và vBond như đã khai báo:
Rồi tìm tới mục Controller Certificate Authorization và paste như dưới:
Save lại.
Tiếp theo , mỗi thiết bị Vmanage, Vbond, Vsmart cần tạo ra file CSR, rồi chuyển file CSR đó lên con CA (Certificate Authority) để kí , tạo ra file chứng chỉ.
Ở đây mình sẽ dùng con Vmanage làm CA luôn (1 số hướng dẫn trên mạng dùng 1 con linux , hoặc windows làm CA cũng chung mục đích)
Trên web của Vmanage:
Tạo file CSR của Vmanage:
Vào CLI của vmanage và tạo cert vmanage1.crt từ file CSR vừa tạo:
vshell
openssl x509 -req -in vmanage_csr \
-CA ROOT-CA.pem -CAkey ROOT-CA.key -CAcreateserial \
-out vmanage1.crt -days 1826 -sha256
cat vmanage1.crt ##để xem nội dung cert
Vào web của vmanage và install cert vừa tạo
DONE phần cert của Vmanage
Tạo file CSR của Vbond:
Trên web của vmanage: Vào Configuration > Devices > Controllers như hình
Bấm vào Add controller > Vbond
Điền IP vbond và username, password đã set ban đầu:
Sau bước trên ta được file CSR của vbond.
Quay lại vbond cli, gõ:
request download scp://admin@10.0.0.1:/home/admin/ROOT-CA.pem ##lấy file cert của vmanage
request root-cert-chain install /home/admin/ROOT-CA.pem ##và install
request upload scp://admin@10.0.0.1:/home/admin/ vbond_csr ##đẩy file CSR lên vmanage để kí
Vào vmanage cli, kí file CSR để tạo certificate cho vbond:
openssl x509 -req -in vbond_csr -CA ROOT-CA.pem -CAkey ROOT-CA.key -CAcreateserial -out vbond.crt -days 1826 -sha256
cat vbond.crt
Vào vmanage web:
Nhấn install là done.
TIẾP THEO ĐẾN VSMART:
Vào web của vmanage, để add vsmart,
Điền IP , username, pass ssh của vsmart vào, (tương tự vbond ở trên)
Sau đó ta đã có 1 file CSR tạo ở trên vsmart.
Quay lại vsmart cli:
Download và install chứng chỉ của CA (vmanage)
request download scp://admin@10.0.0.1:/home/admin/ROOT-CA.pem
request root-cert-chain install /home/admin/ROOT-CA.pem
Upload file CSR lên vmanage để kí
request upload scp://admin@10.0.0.1:/home/admin/ vsmart_csr
Vào vmanage cli:
openssl x509 -req -in vsmart_csr -CA ROOT-CA.pem -CAkey ROOT-CA.key -CAcreateserial -out vsmart1.crt -days 1826 -sha256
cat vsmart1.crt
Lên web của vmanage, install chứng chỉ vừa tạo:
DONE vsmart
KIỂM TRA LẠI:
Vào hình bánh xe > Device > Controller
Thấy các thiết bị hiện lên như này:
Vào tiếp bánh xe > certificate > controllers: thấy đầy đủ danh sách 3 controller là ok.
Vào cli của vmanage
vManage1# show control connections
Thấy hiện lên cả vbond và vsmart
Tương tự bên vbond:
Bài viết cùng danh mục
Danh mục bài viết
- Juniper
- Tài Nguyên LAB
- Wireshark
- FeedBack
- Multicast lab
- Security Infa
- Checkpoint
- Lab OSPF
- Router Logging
- LAB CCNA CCNP CÓ GIẢI
- DMVPN
- Mikrotik
- MPLS
- PFSENSE
- DUMP CCNA
- Điều khoản
- F5 LTM
- MONITOR NETWORK
- TOOL HỌC CCNA
- TƯ VẤN KHÓA HỌC
- PYTHON SCRIPT HỮU ÍCH
- IPv6
- Quality of Service
- QoS
- VXLAN
- SDWAN
- ISE
- Fortigate
- BGP
- MINH HỌA KHÁI NIỆM TRONG CCNA
- Bài tập CCNA CCNP (support Học viên)
- Phỏng vấn IT chứng khoán
- Layer2 CCNA
- Bài tập thiết kế mạng CCNA
- Linux
- EEM SCRIPT
- ASA LAB
- DHCP
- NEXUS
- Giao thức IS IS
- ANSIBLE
- PALO ALTO
- ARUBA SWITCH
- CÂU HỎI TỪ ĐỀ THI THẬT