LAB 3: TRIỂN KHAI HỆ THỐNG CISCO SD-WAN VỚI HAI ĐƯỜNG TRANSPORT.
1.Sơ đồ
Thông tin của các thiết bị
BẢNG 1: Bảng quy hoạch IP
|
Host |
VPN 0 |
VPN 512 |
VPN 11 |
|
vManage |
10.1.1.1/24 |
192.168.1.1/24 |
|
|
vBond |
10.1.1.2/24 |
192.168.1.2/24 |
|
|
vSmart |
10.1.1.3/24 |
192.168.1.3/24 |
|
|
vEdge-site 1 |
200.200.1.2/30 172.16.1.2/24 |
|
192.168.3.254/24 |
|
vEdge-site 2 |
200.200.2.2/30 172.16.1.3/24 |
|
192.168.4.254/24 |
|
vEdge-site 3 |
200.200.3.2/30 172.16.1.4/24 |
|
192.168.5.254/24 |
| Tên thiết bị | Usename | Password |
| vManage | admin | admin |
| vBond | admin | admin |
| vSmart | admin | admin |
| vEdge | admin | admin |
| PC | Test123 |
2. Yêu cầu:
3. Thực hiện:
|
config ter system host-name vmanage system-ip 1.1.1.1 site-id 1000 organization-name VnPro vbond 10.1.1.2 vpn 0 no interface eth0 interface eth1 no shut ip address 10.1.1.1/24 tunnel-interface allow-service all exit ip route 0.0.0.0/0 10.1.1.254 vpn 512 interface eth0 ip add 192.168.1.1/24 no shut commit end
|
|
config ter system host-name vsmart system-ip 1.1.1.3 site-id 1000 organization-name VnPro vbond 10.1.1.2 vpn 512 interface eth1 ip address 192.168.1.3/24 vpn 0 int eth0 no shut ip add 10.1.1.3/24 tunnel-interface allow-service all exit ip route 0.0.0.0/0 10.1.1.254 commit and-quit |
|
config ter system host-name vsmart system-ip 1.1.1.3 site-id 1000 organization-name VnPro vbond 10.1.1.2 vpn 512 interface eth1 ip address 192.168.1.3/24 vpn 0 int eth0 no shut ip add 10.1.1.3/24 tunnel-interface allow-service all exit ip route 0.0.0.0/0 10.1.1.254 commit and-quit |
|
conf system host-name vedge1 system-ip 2.1.1.1 site-id 1 organization-name VnPro vbond 10.1.1.2 vpn 0 int ge0/0 ip add 200.200.1.2/30 tunnel-interface encapsulation ipsec color biz-internet allow-service all no shutdown ip route 0.0.0.0/0 200.200.1.1 exit vpn 512 int eth0 no shut commit and-quit |
|
conf system system-ip 3.1.1.1 site-id 2 organization-name VnPro vbond 10.1.1.2 vpn 0 int ge0/0 ip add 200.200.2.2/30 tunnel-interface encapsulation ipsec color biz-internet allow-service all ip route 0.0.0.0/0 200.200.2.1 no shutdown exit commit and-quit |
|
conf system system-ip 4.1.1.1 site-id 3 organization-name VnPro vbond 10.1.1.2 vpn 0 int ge0/0 ip add 200.200.3.2/30 tunnel-interface encapsulation ipsec color biz-internet allow-service all ip route 0.0.0.0/0 200.200.3.1 no shutdown exit commit and-quit |
|
conf hostname internet interface Ethernet0/0 ip address 200.200.1.1 255.255.255.252 no shut
! interface Ethernet0/1 ip address 200.200.2.1 255.255.255.252 ip nat inside no shut duplex auto ! interface Ethernet0/2 ip address 200.200.3.1 255.255.255.252 ip nat inside no shut ! interface Ethernet0/3 ip nat outside ! interface Ethernet1/0 ip address 200.100.1.1 255.255.255.252 ip nat inside no shut ! ip route 10.1.1.0 255.255.255.252 200.100.1.2
access-list 1 permit any
ip nat inside source list 1 interface Ethernet0/3 overload |
|
Conf hostname Router R8 ! interface Ethernet0/0 ip address 10.1.1.254 255.255.255.0 no shut ! interface Ethernet0/1 ip address 200.100.1.2 255.255.255.252 no shut ! interface Ethernet1/0 ip address 172.16.1.1 255.255.255.0 no shut ! ip route 0.0.0.0 0.0.0.0 200.100.1.1 ! end |
- Dùng trình duyệt trên pc (trong sơ đồ lab) login vào portal vManage: https://192.168.1.1:8443
Kiểm tra:
Kết nối thành công vào vManage.
Ở bài lab này chúng ta sẽ dùng vManage làm server chứng thực. Dùng openssl để tạo và ký certificates từ vshell
- Sau khi kết nối thành công vManage ta sẽ tiến hành promote vManage lên thành CA: dùng terminal console :
+ Gõ lệnh vshell để vào Shell mode cấu hình openssl: “ vshell”
+ Tiếp theo generate key RSA 2048 ta gõ lệnh : “openssl genrsa -out ROOTCA.key 2048”
+ Sau khi đã có key ta sẽ tạo một ROOTCA ta gõ lệnh: “openssl req -x509 -new -nodes -key ROOTCA.key -sha256 -days 2000 -out ROOTCA.pem”
+ Tiếp theo ta gõ theo tùy chọn, còn không gõ gì thì cứ enter cho qua
- Tiếp theo vào pc (trong sơ đồ lab) SSH vào vmanage với ip: 192.168.1.1
+ Ta gõ lệnh: cat ROOTCA.pem để đọc chứng chỉ số, sau đó ta copy chứng chỉ số đó từ begin đến end
- Sau đó ta vào Controller Certificate Authorizatuon → chọn Enterprise rồi paste vào Certificate chọn import & save
- Ta chỉnh lại :
+ Organization name: “VnPro”
+ Vbond: “ 10.1.1.2”
==> vManage đã được promote lên thành CA
- Dùng vManage để ký chứng thực cho vManage, vSmart, vBond.
Vmanage
+ Truy cập vào giao diện web để tạo một yêu cầu ký chứng thực
+ Configuration → Certificates → Controllers → vManage → Generate CSR để tạo file vmanage_csr
- Sau khi tạo xong file csr, ta dùng khóa ROOTCA.key để ký file vmanage_csr ta vừa tạo ra với câu lệnh như sau: openssl x509 -req -in vmanage_csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vmanage.crt -days 500 -sha256 ==> tạo file vmanage.crt
Kiểm tra kết quả là: đã ký thành công
- Ta vào trong pc (trong sơ đồ lab) vào putty gõ địa chỉ 192.168.1.1 rồi SSH Dùng lệnh cat để xem nội dung file vmanage.crt
- Và cài đặt chứng thực trên giao diện web: Configuration → Certificates → Controllers → Install Certificate:
Kiểm Tra: Đã xác thực thành công vManage
VBond
Vào Configuration → Device → Controller → Add controller
- Cấu hình vbond Management ip adress: 10.1.1.2, username: admin, password: admin
Kiểm tra: xuất hiện vbond
- Tạo file vbond_csr bằng cách chọn Generate CSR
- Vào consle vbond gõ cat vbond_csr và copy chứng chỉ số từ begin đến end
- sau đó qua console vmanage tạo file vbond_csr bằng câu lệnh: vim vbond_csr dán chứng chỉ số vừa copy ở vbond bằng cách gõ i rồi kich chuột phải đế dán, sau đó gõ esc :wq để thoát ra.
- Tiếp tục ở console vmanage dùng câu lệnh: “openssl x509 -req -in vbond_csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond.crt -days 500 -sha256” để chuyển file vbond_csr sang vbond_crs
- Vào pc (trong sơ đồ lab) ssh vào vmanage, dùng cat vbond_crt để copy chứng chỉ số
- Sau đó vào giao diện trên web vmanage chọn Install Certificate
Kiểm tra kết quả: thành công
VSmart: tương tự vbond
- Cấu hình vSmart Management ip adress: 10.1.1.3, username: admin, password: admin
- Tạo file vsmart_csr bằng cách chọn Generate CSR
- Vào consle vsmart gõ cat vsmart_csr và copy chứng chỉ số từ begin đến end
- Sau đó qua console vmanage tạo file vsmart_csr bằng câu lệnh: vim vsmart_csr dán chứng chỉ số vừa copy ở vbond bằng cách gõ “i“ rồi kich chuột phải đế dán, sau đó gõ “esc :wq” để lưu và thoát ra.
- Tiếp tục ở console vmanage dùng câu lệnh: “openssl x509 -req -in vsmart_csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vsmart.crt -days 500 -sha256” để chuyển file vsmart_csr sang vbond_crt
- Vào pc (trong sơ đồ lab) ssh vào vmanage, dùng cat vsmart_crt để copy chứng chỉ số
- Sau đó vào giao diện trên web vmanage chọn Install Certificate
- Kết quả thành công:
Kiểm tra:
- vManage, vsmart, vbond đã bring-up thành công
Cấu hình license vEdge
Chọn Configuration->Devices->Upload WAN Edge List và chọn file trong phần download(serialFile.viptela)
Vào vshell của vEdge up license như đã làm trên vManage
Thoát vshell và request license “request root-cert-chain install /home/admin/ROOTCA.pem”
Vào web vManage Configuration->Certificates chọn chassis number và token
Sau đó đồng thời chọn giá trị Valid và Send to Controllers
Vào lại putty và gõ lệnh (chassis number và token đã chọn trong mục certificate)
“request vedge-cloud activate chassis-number 84c6527e-45e6-c5a8-c33c-fff9d8ad42a4 token ba5fe9973d8e36f15e3c0b68c8091660”
4. Kiểm tra
Tác giả: Nhóm SD-WAN - phòng kỹ thuật VnPro
