پیاده سازی SD-WAN سیسکو

 

در صورت اطلاع از دانش راه اندازی و ایجاد شبکه مبتنی بر SD-WAN و چالش های آن، پیاده سازی SD-WAN سیسکو موجب راحتی و انعطاف پذیری فرآیندهای شبکه های WAN و مدیریت مسیریابی برای انتقال اطلاعات بین شعب و سایت های مختلف میشود. در این قسمت بطور مفصل و با بیان جزییات به نحوه پیاده سازی این تکنولوژی برروی کلود خصوصی VMWare ESXi خواهیم پرداخت.

در مرحله فایل های OVA ماشین های مجازی سیسکو vManage ، سیسکو vSmart ، سیسکو vBond ( سیستم عامل این محصول با سیسکو vEdge یکسان میباشد) و روتر مجازی CSR1000v سیسکو را دانلود نمایید.

پیاده سازی vManage

در مرحله  از پیاده سازی SD-WAN سیسکو فایل OVA نرم افزار vManage را در VMWare ESXi وارد کرده و ماشین را راه اندازی کنید. توجه داشته باشید در قسمت Network Interface دو vNIC به منظور Control و Management وارد کنید.

تکنولوژی SD-WAN سیسکو

پس از راه اندازی با نام کاربری admin و کلمه admin وارد شده و کلمه عبور جدیدی وارد کنید.

در اولین مرحله از تنظیمات دستورات زیر را برای اعمال Management IP وارد کنید:

Management IP

سپس دستورات زیر را برای وارد کردن Control IP وارد نمایید ( توجه داشته باشید این IP با IP درنظر گرفته شده برای vSmart ، vBond و روترهای CSR1000v در یک رنج باشد )

 

CSR1000v

در مرحله بعدی از پیاده سازی SD-WAN سیسکو باید پارامترهای سیستم را برای vManage تنظیم نمایید. لازم به توجه است organization name برای تمامی تجهیزات SD-WAN ، site id برای vManage ، vSmart و vBond و System ip برای تمامی تجهیزات فابریک منحصر بفرد است.

organization name

پیاده سازی تکنولوژی SD-WAN سیسکو

 

در این مرحله میتوانید با دستور زیر از تنظیمات خود مطمئن شوید:

VManage# show controller local-properties

در آخر با وارد کردن Management IP وارد پنل وب vManage شوید:

علارغم وارد کردن vBond IP و organization name دوباره باید در مسیر ADMINISTRATION > SETTINGS آن را تعریف نمایید تا قابلیت ارسال تنظیمات bootstrap ، که تنظیمات مقدماتی و خودکاری است که برای vEdge ها ارسال میگردد، فعال شود.

 

راه اندازی vBond

در این مرحله از تنظیمات SD-WAN سیسکو فایل OVA محصول vBond را نیز برروی VMWare ESXi اجرا و در قسمت Network Interface دو vNIC به منظور Control و Management وارد کنید.

محصول vBond

پس از ورود ( admin : admin ) و تغییر کلمه عبور، دستورات زیر را درون CLI دستگاه وارد کنید:

Management Interface

سپس دستورات زیر را برای تنظیم Management Interface انجام دهید:

Management Interface

در مرحله بعد VPN 0 را بصورت زیر تنظیم میکنیم :

در آخر با دستور زیر میتوانید تنظیمات وارده را چک کنید:

vBond# show controller local-properties

 

راه اندازی vSmart

در مرحله سوم از اجرای SD-WAN سیسکو برای نصب vSmart فایل OVA محصول آن را برروی VMWare ESXi اجرا و در قسمت Network Interface دو vNIC به منظور Control و Management وارد کنید.

Network Interface

پس از ورود ( admin : admin ) و تغییر کلمه عبور، دستورات زیر را درون CLI دستگاه وارد کنید:

Management Interface

سپس دستورات زیر را برای تنظیم Management Interface انجام دهید:

در مرحله بعد VPN 0 را بصورت زیر تنظیم میکنیم :

SD-WAN سیسکو

در آخر با دستور زیر میتوانید تنظیمات وارده را چک کنید:

vSmart# show controller local-properties

در این مرحله تنظیمات مقدماتی کنترلرها درون محیط CLI به پایان میرسد و در مرحله که بسیار مهم است باید برای ارتباط امن بین آنها Certificate ایجاد و برروی آنها نصب نماییم.

ایجاد Certificate برای SD-WAN سیسکو

از آنجاییکه در پیاده سازی SD-WAN سیسکو تمامی ارتباطات بصورت امن و برپایه TLS میباشد، نیاز به ساختن Certificate معتبری داریم که vManage بوسیله آن کنترلرها و روترهای دارای صلاحیت ورود به این شبکه را تشخیص دهد. برای ساختن این Certificate در صورت نداشتن CA سرور در بستر سازمان میتوانید از روش زیر عمل نمایید:

ابتدا از وارد محیط CLI برروی vManage شده و دستور زیر را جهت دسترسی به محیط Shell دستگاه وارد نمایید:

VManage# vshell

با وارد نمودن دستور زیر یک کلید Private به نام ROOTCA.key بوسیله RSA و به اندازه 2048 ایجاد میکنید:

sd-wan cisco

بوسیله دستور زیر از بوجود آمدن این کلید مطمئن شوید:

sd-wan cisco

سپس با استفاده از کلید بالا و دستور زیر یک Certificate میسازیم:

Certificate

با دستور زیر فایل Certificate ساخته شده را باز و محتوای آن را کپی کنید:

فایل Certificate

در مرحله بعد وارد پنل وب vManage از مسیر ADMINISTRATION > SETTINGS شده گزینه Enterprise Root Certificate را انتخاب کرده و متن کپی شده را در قسمت زیر وارد نمایید و Import & Save را انتخاب نمایید.

وب vManage

ایجاد CSR برای کنترلرهای SD-WAN

پس از وارد کردن لایسنس در مرحله قبل از پیاده سازی SD-WAN سیسکو، در این مرحله ابتدا باید vSmart و vBond را درون پنل vManage اضافه کنیم. برای اینکار از منوی   CONFIGURATION > DEVICES و از تب Controllers و با انتخاب Add Controller آنها را اضافه کنید.

پس از وارد کردن هر کنترلر مانند شکل زیر گزینه Generate CSR را از منوی روبروی هر کنترلر انتخاب کنید.

گزینه Generate CSR

سپس متن را از صفحه نمایش داده شده کپی کنید:

سیسکو vManage

سپس وارد محیط Shell سیسکو vManage شده و با استفاده از دستور زیر آنرا در فایلی جداگانه ذخیره کنید:

VManage# vshell

VManage: ~$ vim vbond.csr

حرف i را انتخاب کرده، سپس متن را Paste کنید. در آخر کلید Esc و Shift بهمراه : (دونقطه) را فشار داده و wq را بنویسید و Enter کنید. به اینصورت فایل شما Save میشود.

برای ایجاد Certificate براساس فایل vbond.csr دستور زیر را وارد کنید:

VManage: ~$ openssl x509 -req -in vbond.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond.crt -days 2000 -sha256

با دستور زیر فایل ایجاد شده را باز نمایید و محتویات آن را کپی کنید.

VManage: ~$cat vbond.crt

در مرحله آخر وارد پنل Devices در وب پنل vManage شده و روی vBond کلیک کرده و گزینه Install Certificate را بزنید.

     

پنل Devices

 

  

متن کپی شده را Paste و Install کنید. در صفحه زیر نتیجه برای شما نمایش داده میشود:

راه اندازی vEdge با روتر CSR1000v

برای  vSmart و vManage نیز به همین صورت عمل نمایید. در انتها تمامی کنترلرها دارای Certificate معتبر خواهد بود و میتوانند باهم ارتباط داشته باشند.

راه اندازی vEdge با روتر CSR1000v

برای راه اندازی و اضافه کردن روتر CSR1000v به درون شبکه SD-WAN ابتدا باید مطمئن شویم که لایسنس های Viptela که در بخش لایسنس Plug and Play سیسکو توضیح دادیم در vManage موجود میباشد.

ابتدا دستگاه را در حالت Controller قرار داده و Confirm کنید:

Router# controller-mode enable

و پس از بوت شدن دستگاه تنظیمات زیر را وارد میکنیم:

راه اندازی vEdge با روتر CSR1000v

در مرحله بعدی تونل های Overlay را برای ارتباط با کنترلرها تنظیم میکنیم :

فایل bootstrap Configuration

فایل bootstrap Configuration

این فایل را از منوی زیر میتوانید دانلود کنید. این فایل برای اختصاص شاخصه های chassis number و توکن برای روترهای مجازی الزامی است.

شاخصه های chassis number

سپس OK را کلیک کنید:

روترهای مجازی

در پنجره زیر دو مورد نشان داده شده را کپی نمایید:

ftd

سپس با دستور زیر این دو مورد را وارد نمایید:

cEdge40#request platform software sdwan vedge_cloud activate chassis-number [CSR] token [OTP]

با دستور زیر میتوانید Verify نمایید:

cEdge40#show sdwan control local-properties

همچنین میتوان قبل از تغییر حالت دستگاه از Anonymous به Controller میتوان این فایل را دانلود کرد و نام آن را به ciscosdwan_cloud_init.cfg تغییر و بوسیله راه اندازی سرور tftd و یا ftd و یا بوسیله scp برروی bootflash دستگاه قرار داد تا روتر بصورت خودکار با خواندن این فایل لود شود. در این فایل باید uuid ، otp ، vbond و organization مشخص شده باشد.

همچنین برای تحقق Zero touch provisioning میتوان با اضافه کردن template های از پیش تعریف شده در این فایل و بواسطه vManage ، تمامی تنظیمات لازمه را برروی روتر و پس از بوت در حالت کنترلر اعمال نمود.

فایل Certificate

فایل Certificate

همچنین فایل ROOTCA.pem را از روی Shell سیسکو vManage با دستور زیر برروی bootflash دستگاه کپی کنید.

VManage: ~$ scp ROOTCA.pem [email protected]:bootflash:/ROOTCA.pem

با دستور زیر از وجود فایل ها مطمئن شوید:

Router#dir bootflash

و با دستور زیر آن را نصب نمایید:

Router#Request platform software sdwan root-cert-chain install bootflash:ROOTCA.pem

در آخر با دستور زیر میتوانید از نصب آن مطمئن شوید:

Router#show sdwan certificate root-cert-chain

برای حالتی که روتر برروی مود عادی باشد ( Anonymous ) پس از قرار دادن فایل لایسنس vManage و خروجی حاصله از لایسنس های Viptela در bootflash دستگاه و در نهایت قرار دادن دستگاه در مود Controller ، دستگاه بعد از ریبوت و پس از تنظیم مقدماتی میتواند درون شبکه SD-WAN وارد شود. لازم بذکر است در حالت پیشرفته تر با درنظر گرفتن Template ها میتواند Zero Touch Provisioning را نیز درون شبکه فعال کرد تا تمامی اجزای جدید شبکه SD-WAN بلافاصله پس از راه اندازی و ارتباط با vBond تمامی تنظیمات از پیش تعریف شده را دریافت و در شبکه ورود کنند.

تایید نهایی

برای اینکه مطمئن شوید تمامی مراحل کامل انجام شده اند وارد پنل vManage شوید. تمامی کنترلرها و روترها باید در بخش داشبورد اصلی و Devices شناسایی شده و فعال باشند:

SD-WAN سیسکو

پیاده سازی SD-WAN سیسکو