LAB 2: TRIỂN KHAI THIẾT BỊ VEDGE VÀO HỆ THỐNG CISCO SD-WAN
1. Sơ đồ
| Tên thiết bị | Username | Password |
| vManage | admin | admin |
| vBond | admin | admin |
| vSmart | admin | admin |
| vEdge | admin | admin |
| PC | Test123 |
2. Yêu cầu:
3. Thực hiện:
|
config ter system host-name vmanage system-ip 1.1.1.1 site-id 1000 organization-name VnPro vbond 10.1.1.2 vpn 0 interface eth0 ip address 10.1.1.1/24 tunnel-interface allow-service all vpn 512 interface eth1 ip add 10.215.26.51/24 (thuộc địa chỉ mạng của bạn để có thể vào được Internet) no shut commit end |
|
config ter system host-name vsmart system-ip 1.1.1.3 site-id 1000 organization-name VnPro vbond 10.1.1.2 vpn 0 interface eth0 ip address 10.1.1.3/24 tunnel-interface encapsulation ipsec allow-service all vpn 512 int eth1 no shut ip add 10.215.26.53/24 exit commit and-quit |
|
config ter system host-name vbond system-ip 1.1.1.2 site-id 1000 organization-name VnPro vbond 10.1.1.2 local vbond-only vpn 0 interface ge0/0 ip address 10.1.1.2/24 tunnel-interface encapsulation ipsec allow-service all vpn 512 int eth0 ip address 10.215.26.52/24 exit commit end |
|
conf system host-name vedge1 system-ip 2.1.1.1 site-id 1 organization-name VnPro vbond 10.1.1.2 vpn 0 int ge0/0 ip add 10.1.1.4/24 no shutdown exit vpn 512 int eth0 no shut commit and-quit |
|
conf system system-ip 3.1.1.1 site-id 2 organization-name VnPro vbond 10.1.1.2 vpn 0 int ge0/0 ip add 10.1.1.5/24 no shutdown exit commit and-quit
|
|
conf system system-ip 4.1.1.1 site-id 3 organization-name VnPro vbond 10.1.1.2 vpn 0 int ge0/0 ip add 10.1.1.6/24 no shutdown exit commit and-quit |
- Dùng trình duyệt trên pc (trong sơ đồ lab) login vào portal vManage: https://10.215.26.51:8443.
Ở bài lab này chúng ta sẽ dùng vManage làm server chứng thực. Dùng openssl để tạo và ký certificates từ vShell. Dùng terminal console bằng cách bấm icon của vManage:
+ Gõ lệnh vshell để vào Shell mode cấu hình openssl.
+ Tiếp theo tạo ra khóa RSA 2048 ta gõ lệnh: “openssl genrsa -out ROOTCA.key 2048”
+ Sau khi đã có khóa, chúng ta sẽ tạo ra một ROOTCA bằng cách dùng lệnh “openssl req -x509 -new -nodes -key ROOTCA.key -sha256 -days 2000 -out ROOTCA.pem”
+ Tiếp theo ta gõ theo tùy chọn, hoặc dùng Enter để chọn mặc định:
- Bước kế tiếp, vào pc (trong sơ đồ lab) SSH vào vmanage với ip: 10.215.26.51
+ Ta gõ lệnh: cat ROOTCA.pem để đọc chứng chỉ số, sau đó ta copy chứng chỉ số đó từ begin đến end
- Sau đó ta vào Controller Certificate Authorizatuon → chọn Enterprise rồi paste vào Certificate chọn import & save
- Ta chỉnh lại :
+ Organization name: “VnPro”
+ Vbond: “ 10.1.1.2”
==> vManage đã được promote lên thành CA
- Dùng vManage để ký chứng thực cho vManage, vSmart, vBond.
Vmanage
+ Truy cập vào giao diện web để tạo một yêu cầu ký chứng thực
+ Configuration → Certificates → Controllers → vManage → Generate CSR để tạo file vmanage_csr
- Sau khi tạo xong file csr, ta dùng khóa ROOTCA.key để ký file vmanage_csr ta vừa tạo ra với câu lệnh như sau: openssl x509 -req -in vmanage_csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vmanage.crt -days 2000 –sha256 ==> tạo file vmanage.crt
Kiểm tra kết quả là: đã ký thành công
- Ta vào trong pc (trong sơ đồ lab) vào putty gõ địa chỉ 10.215.26.51 rồi SSH Dùng lệnh cat để xem nội dung file vmanage.crt
- Và cài đặt chứng thực trên giao diện web: Configuration → Certificates → Controllers → Install Certificate:
Kiểm Tra: Đã xác thực thành công vManage
VBond
Vào Configuration → Device → Controller → Add controller
- Cấu hình vbond Management ip adress: 10.1.1.2, username: admin, password: admin
Kiểm tra: xuất hiện vbond
- Tạo file vbond_csr bằng cách chọn Generate CSR
- Vào consle vbond gõ cat vbond_csr và copy chứng chỉ số từ begin đến end
- sau đó qua console vmanage tạo file vbond_csr bằng câu lệnh: vim vbond_csr dán chứng chỉ số vừa copy ở vbond bằng cách gõ i rồi kich chuột phải đế dán, sau đó gõ esc :wq để thoát ra.
- Tiếp tục ở console vmanage dùng câu lệnh: “openssl x509 -req -in vbond_csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond_crt -days 500 –sha256” để chuyển file vbond_csr sang vbond_crs
- Vào pc (trong sơ đồ lab) ssh vào vmanage, dùng cat vbond_crt để copy chứng chỉ số
- Sau đó vào giao diện trên web vmanage chọn Install Certificate
Kiểm tra kết quả: thành công
VSmart: tương tự vbond
- Cấu hình vSmart Management ip adress: 10.1.1.3, username: admin, password: admin
- Tạo file vsmart_csr bằng cách chọn Generate CSR
- Vào consle vsmart gõ cat vsmart_csr và copy chứng chỉ số từ begin đến end
- Sau đó qua console vmanage tạo file vsmart_csr bằng câu lệnh: vim vsmart_csr dán chứng chỉ số vừa copy ở vbond bằng cách gõ “i“ rồi kich chuột phải đế dán, sau đó gõ “esc :wq” để lưu và thoát ra.
- Tiếp tục ở console vmanage dùng câu lệnh: “openssl x509 -req -in vsmart_csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vsmart_crt -days 500 –sha256” để chuyển file vsmart_csr sang vbond_crt
- Vào pc (trong sơ đồ lab) ssh vào vmanage, dùng cat vsmart_crt để copy chứng chỉ số
- Sau đó vào giao diện trên web vmanage chọn Install Certificate
- Kết quả thành công:
Kiểm tra:
- vManage, vsmart, vbond đã bring-up thành công
Cấu hình license vEdge
Để có được file (serialFile.viptela) thì ta phải có 1 smart account hoặc dùng PC trong sơ đồ lab download nó tại đây: https://drive.google.com/file/d/1rEcGj2ufgs_lqkK_PO-mZe7MmZqQcYFf/view?usp=sharing (cần chỉnh lại organization name trong phần cấu hình các thiết bị là: VnPro để có thể upload được file này vào vManage)
Lưu ý: PC trong sơ đồ lab của bạn phải ra được internet, cho nên khi bạn đặt ip cho VPN 512 nó thuộc vào địa mạng ở nhà bạn, ở bài lab này địa chỉ mạng của nó là 10.215.26.0/24
Chọn Configuration->Devices->Upload WAN Edge List và chọn file trong phần download (serialFile.viptela)
Vào vshell của vEdge up license như đã làm trên vManage
Thoát vshell và request license
Vào web vManage Configuration->Certificates chọn chassis number và token
Sau đó đồng thời chọn giá trị Valid và Send to Controllers
Vào lại putty và gõ lệnh (chassis number và token đã chọn trong mục certificate)
- Tiếp tục với các vedge còn lại
4. Kiểm tra
Tác giả: Nhóm SD-WAN - Phòng kỹ thuật VnPro
