LAB 10 : VIẾT CENTRALIZED POLICY ĐỂ CÔ LẬP GUEST USER GIỮA CÁC CHI NHÁNH -

LAB 10 : VIẾT CENTRALIZED POLICY ĐỂ CÔ LẬP GUEST USER GIỮA CÁC CHI NHÁNH

I. Sơ đồ

II. Yêu cầu kỹ thuật

• Thực hiện đấu nối dây giữa các thiết bị và đặt IP trên các cổng như sơ đồ trên 
• Viết ba Feature Template có tên là vEdge_VPN12, vEdge_VPN12_INTGE0/3 và vEdge_OSPF_VPN12.
• Viết một Device Template từ ba Feature Template trên và dùng lại các Feature Template cũ (vEdge_VPN0, vEdge_VPN0_INTGE0/0, vEdge_VPN0_INTGE0/1, vEdge_VPN512, vEdge_VPN512_INTE0, vEdge_VPN11, vEdge_OSPF) để tạo thêm một VPN12 dành cho khách ở các site.
• Đẩy cấu hình Device Template vừa viết xong.
• Viết Centralized Policy để cô lập VPN12 không cho giao tiếp được giữa các site.

III. Các bước thực hiện

3.1 Viết ba Feature  Template cho VPN12 dành cho khách hàng

• Tạo Feature Template: vEdge_VPN12

Đầu tiên ta vào giao diện vManage > Configuration > Template > Feature > Add Template.

 

Ở phần Select Devices ta chọn thiết bị vEdge cloud rồi chọn mục VPN

 

Tiếp theo vào mục VPN ta cấu hình như sau:

Template Name: vEdge_VPN12

Description: vEdge_VPN12

VPN: 12

 

 

 

Sau đó, ở Advertise OMP thì ta chỉnh như sau:

 

 

Cuối cùng chọn Save để tạo được cái Feature Template đầu tiên

 

• Tạo Feature Template: vEdge_VPN12_INTGE0/3 (để cấu hình cổng ge0/3 cho VPN12)

 

Chọn vManage > Configuration > Template > Feature > Add Template.

Tạo template cho VPN 11 interface như bên dưới:

• Select Devices: vEdge Cloud
• Template: VPN/VPN Interface Ethernet
• Template Name: vEdge_VPN12_Ge0/3
• Description: vEdge_VPN12_Ge0/3

 

 

 

Chọn Save để tạo Template

 

• Tạo Feature Template: vEdge_OSPF_VPN12 (để định tuyến cho VPN12)

Chọn vManage > Configuration > Template > Feature > Add Template.

 

Sau đó cấu hình các thông số như hình sau:

Template Name: vEdge_OSPF_VPN12

Description: vEdge_OSPF_VPN12

Router ID chọn Device Specific

Tiếp theo đến phần REDISTRIBUTE ta chọn OMP

Tiếp tục đền phần AREA  ta chọn number là 0

sau đó ta add interface

Một cửa sổ hiện ra, ta chỉnh thông số như sau:

Interface Name: ge0/3

Và chọn add để thêm interface

Cuối cùng ta chọn Save để tạo Template

3.2. Tạo một  Device Template

 

Ở giao diện vManage, Configuration > Templates (tab Device).

Chọn Create Template > From Feature Template.

Chọn Device Model (vEdge Cloud).

 

 

 

Nhập Template Name (vEdge_VPN12), Description (vEdge_VPN12).

 

Trong phần Basic Information thì để mặc định nếu có những template tương ứng thì có thể chọn vào.

Đối với phần Transport & Management VPN, ta chọn lần lượt các Feature Template cũ sau:

VPN0: vEdge_VPN0

VPN Interface: vEdge_VPN0_INTGE0/0

VPN Interface: vEdge_VPN0_INTGE0/0

VPN512: vEdge_VPN512

VPN Interface: vEdge_VPN_INTE0

 

Ở Service VPN, ta lần lượt chọn các template tương ứng với các mục như sau:

VPN: vEdge_VPN11

OSPF: vEdge_OSPF

VPN Interface: vEdge_VPN11_INTGE0/2

Tương tự cho cổng GE0/3

VPN: vEdge_VPN12

OSPF: vEdge_OSPF_VPN12

VPN Interface: vEdge_VPN12_INTGE0/3

 

Chọn Save để hoành thành Device Template

 

Tiến hành cấu hình thiết bị vEdge bằng cách Attach Devices

Chọn thiết bị vEdge ở ba site: SITE1, SITE2, SITE3.

 

Chọn Attach

Các thông số cấu hình cho thiết bị vEdge ở Site1 như sau:

Site2:

 

SITE3:

 

 

Chọn Update > Next > Configure Device

 

 

Tiến hành cấu hình cho thiết bị Router ở 3 site ở VPN12

R15: ở site1

interface Ethernet0/0

 ip address 192.168.7.2 255.255.255.0

 no shutdown

!

interface Ethernet0/1

 ip address 10.10.40.1 255.255.255.0

no shutdown

!

router ospf 1

 network 10.10.40.0 0.0.0.255 area 0

 network 192.168.7.0 0.0.0.255 area 0

 

R16: ở site2

interface Ethernet0/0

 ip address 192.168.8.2 255.255.255.0

 no shutdown

!

interface Ethernet0/1

 ip address 10.10.50.1 255.255.255.0

no shutdown

!

router ospf 1

 network 10.10.50.0 0.0.0.255 area 0

 network 192.168.8.0 0.0.0.255 area 0

 

R17: ở site3

interface Ethernet0/0

 ip address 192.168.9.2 255.255.255.0

 no shutdown

!

interface Ethernet0/1

 ip address 10.10.60.1 255.255.255.0

no shutdown

!

router ospf 1

 network 10.10.60.0 0.0.0.255 area 0

 network 192.168.9.0 0.0.0.255 area 0

 

Thực hiện lệnh Ping từ win22 ở site1 của VPN12 sang win23 ở site của VPN12 thì thấy ping thành công

 

3.3. Viết Centralized Policy để cô lập VPN12 không cho giao tiếp được giữa các site.

Vào giao diện vManage > Configuration  > Policies > Centralized Policy >  Add Policy

 

Sau đó ta vào Site > New Site List để thêm lần lượt ba site

 

 

Bước tiếp theo chọn VPN > New VPN List để tạo vpn11

 

Sau khi đã tạo xong các Site và VPN11 thì ta chọn Next để qua bước tiếp theo

 

Tiếp theo xuất hiệu giao diện sau, ta chọn VPN Membership > Add VPN Membership

 

Cấu hình lần lượt các thông số như sau:

VPN Membership Name: VPN11

Description: VPN11

Site List: site1, site2, site3

VPN Lists: vpn11

Chọn Save để lưu policy

Chọn Next > Next để tới bước cuối cùng là tạo tên cho policy

 

Chọn Save Policy

Bước cuối cùng ta kích hoạt policy vừa tạo đến các vEdge ở ba site

Tìm policy vừa tạo User_Guest_VPN12, chọn Activate để kích hoạt

IV. Kiểm tra

Kiểm tra trên thiết bị vEdge ở ba site bằng lệnh show ip routes

vEdge SITE1 thì ta không thấy các route của VPN12 từ SITE2 và SITE3

 

vEdge SITE2 thì ta không thấy các route của VPN12 từ SITE1 và SITE3

 

vEdge SITE3 thì ta không thấy các route của VPN12 từ SITE1 và SITE2

 

Thực hiện ping từ Win22 của VPN12 ở site1 và Win23 của VPN12 ở site2: thì ta thấy không biết đường đi do ta đã chặn giao tiếp giữa các site ở VPN12

Tương tự ping từ Win22 của VPN12 ở site1 và Win24 của VPN12 ở site3

Tương tự ping từ Win23 của VPN12 ở site2 và Win24 của VPN12 ở site3

Tác giả: Nhóm SD-WAN - Phòng kỹ thuật VnPro