در صورت اطلاع از دانش راه اندازی و ایجاد شبکه مبتنی بر SD-WAN و چالش های آن، پیاده سازی SD-WAN سیسکو موجب راحتی و انعطاف پذیری فرآیندهای شبکه های WAN و مدیریت مسیریابی برای انتقال اطلاعات بین شعب و سایت های مختلف میشود. در این قسمت بطور مفصل و با بیان جزییات به نحوه پیاده سازی این تکنولوژی برروی کلود خصوصی VMWare ESXi خواهیم پرداخت. در مرحله فایل های OVA ماشین های مجازی سیسکو vManage، سیسکو vSmart، سیسکو vBond (سیستم عامل این محصول با سیسکو vEdge یکسان میباشد) و روتر مجازی CSR1000v سیسکو را دانلود نمایید.
پیاده سازی vManage
در مرحله از پیاده سازی SD-WAN سیسکو فایل OVA نرم افزار vManage را در VMWare ESXi وارد کرده و ماشین را راه اندازی کنید. توجه داشته باشید در قسمت Network Interface دو vNIC به منظور Control و Management وارد کنید. در نظر داشته باشید برای استفاده از کلیه قابلیت های SD-WAN باید لایسنس SD-WAN سیسکو را تهیه کنید.
پس از راه اندازی با نام کاربری admin و کلمه admin وارد شده و کلمه عبور جدیدی وارد کنید. در اولین مرحله از تنظیمات دستورات زیر را برای اعمال Management IP وارد کنید:
سپس دستورات زیر را برای وارد کردن Control IP وارد نمایید (توجه داشته باشید این IP با IP درنظر گرفته شده برای vSmart ،vBond و روترهای CSR1000v در یک رنج باشد)
در مرحله بعدی از پیاده سازی SD-WAN سیسکو باید پارامترهای سیستم را برای vManage تنظیم نمایید. لازم به توجه است organization name برای تمامی تجهیزات SD-WAN ،site id برای vManage ،vSmart و vBond و System ip برای تمامی تجهیزات فابریک منحصر بفرد است.
پیاده سازی SD-WAN سیسکو
در این مرحله میتوانید با دستور زیر از تنظیمات خود مطمئن شوید:
VManage# show controller local-properties
در آخر با وارد کردن Management IP وارد پنل وب vManage شوید:
علارغم وارد کردن vBond IP و organization name دوباره باید در مسیر ADMINISTRATION > SETTINGS آن را تعریف نمایید تا قابلیت ارسال تنظیمات bootstrap، که تنظیمات مقدماتی و خودکاری است که برای vEdge ها ارسال میگردد، فعال شود.
راه اندازی vBond
در این مرحله از تنظیمات SD-WAN سیسکو فایل OVA محصول vBond را نیز برروی VMWare ESXi اجرا و در قسمت Network Interface دو vNIC به منظور Control و Management وارد کنید.
پس از ورود ( admin : admin ) و تغییر کلمه عبور، دستورات زیر را درون CLI دستگاه وارد کنید:
سپس دستورات زیر را برای تنظیم Management Interface انجام دهید:
در مرحله بعد VPN 0 را بصورت زیر تنظیم میکنیم :
در آخر با دستور زیر میتوانید تنظیمات وارده را چک کنید:
vBond# show controller local-properties
راه اندازی vSmart
در مرحله سوم از اجرای SD-WAN سیسکو برای نصب vSmart فایل OVA محصول آن را برروی VMWare ESXi اجرا و در قسمت Network Interface دو vNIC به منظور Control و Management وارد کنید.
پس از ورود ( admin : admin ) و تغییر کلمه عبور، دستورات زیر را درون CLI دستگاه وارد کنید:
پیاده سازی SD-WAN سیسکو
سپس دستورات زیر را برای تنظیم Management Interface انجام دهید:
در مرحله بعد VPN 0 را بصورت زیر تنظیم میکنیم :
در آخر با دستور زیر میتوانید تنظیمات وارده را چک کنید:
vSmart# show controller local-properties
در این مرحله تنظیمات مقدماتی کنترلرها درون محیط CLI به پایان میرسد و در مرحله که بسیار مهم است باید برای ارتباط امن بین آنها Certificate ایجاد و برروی آنها نصب نماییم.
ایجاد Certificate برای SD-WAN سیسکو
از آنجاییکه در پیاده سازی SD-WAN که یکی از محصولات سیسکو میباشد، تمامی ارتباطات بصورت امن و برپایه TLS است. نیاز به ساختن Certificate معتبری داریم که vManage بوسیله آن کنترلرها و روترهای دارای صلاحیت ورود به این شبکه را تشخیص دهد. برای ساختن این Certificate در صورت نداشتن CA سرور در بستر سازمان میتوانید از روش زیر عمل نمایید:
ابتدا از وارد محیط CLI برروی vManage شده و دستور زیر را جهت دسترسی به محیط Shell دستگاه وارد نمایید:
VManage# vshell
با وارد نمودن دستور زیر یک کلید Private به نام ROOTCA.key بوسیله RSA و به اندازه 2048 ایجاد میکنید:
بوسیله دستور زیر از بوجود آمدن این کلید مطمئن شوید:
سپس با استفاده از کلید بالا و دستور زیر یک Certificate میسازیم:
با دستور زیر فایل Certificate ساخته شده را باز و محتوای آن را کپی کنید:
پیاده سازی SD-WAN سیسکو
در مرحله بعد وارد پنل وب vManage از مسیر ADMINISTRATION > SETTINGS شده گزینه Enterprise Root Certificate را انتخاب کرده و متن کپی شده را در قسمت زیر وارد نمایید و Import & Save را انتخاب نمایید.
ایجاد CSR برای کنترلرهای SD-WAN
پس از وارد کردن لایسنس در مرحله قبل از پیاده سازی SD-WAN سیسکو، در این مرحله ابتدا باید vSmart و vBond را درون پنل vManage اضافه کنیم. برای اینکار از منوی CONFIGURATION > DEVICES و از تب Controllers و با انتخاب Add Controller آنها را اضافه کنید.
پس از وارد کردن هر کنترلر مانند شکل زیر گزینه Generate CSR را از منوی روبروی هر کنترلر انتخاب کنید.
سپس متن را از صفحه نمایش داده شده کپی کنید:
سپس وارد محیط Shell سیسکو vManage شده و با استفاده از دستور زیر آنرا در فایلی جداگانه ذخیره کنید:
VManage# vshell
VManage: ~$ vim vbond.csr
حرف i را انتخاب کرده، سپس متن را Paste کنید. در آخر کلید Esc و Shift بهمراه : (دونقطه) را فشار داده و wq را بنویسید و Enter کنید. به اینصورت فایل شما Save میشود.
برای ایجاد Certificate براساس فایل vbond.csr دستور زیر را وارد کنید:
VManage: ~$ openssl x509 -req -in vbond.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond.crt -days 2000 -sha256
با دستور زیر فایل ایجاد شده را باز نمایید و محتویات آن را کپی کنید.
VManage: ~$cat vbond.crt
در مرحله آخر وارد پنل Devices در وب پنل vManage شده و روی vBond کلیک کرده و گزینه Install Certificate را بزنید.
متن کپی شده را Paste و Install کنید. در صفحه زیر نتیجه برای شما نمایش داده میشود:
برای vSmart و vManage نیز به همین صورت عمل نمایید. در انتها تمامی کنترلرها دارای Certificate معتبر خواهد بود و میتوانند باهم ارتباط داشته باشند.
راه اندازی vEdge با روتر CSR1000v
برای راه اندازی و اضافه کردن روتر CSR1000v به درون شبکه SD-WAN ابتدا باید مطمئن شویم که لایسنس های Viptela که در بخش لایسنس Plug and Play سیسکو توضیح دادیم در vManage موجود میباشد.
ابتدا دستگاه را در حالت Controller قرار داده و Confirm کنید:
Router# controller-mode enable
و پس از بوت شدن دستگاه تنظیمات زیر را وارد میکنیم:
Implementing Cisco SD-WAN
در مرحله بعدی تونل های Overlay را برای ارتباط با کنترلرها تنظیم میکنیم :
فایل bootstrap Configuration
این فایل را از منوی زیر میتوانید دانلود کنید. این فایل برای اختصاص شاخصه های chassis number و توکن برای روترهای مجازی الزامی است.
سپس OK را کلیک کنید:
Implementing Cisco SD-WAN
در پنجره زیر دو مورد نشان داده شده را کپی نمایید:
سپس با دستور زیر این دو مورد را وارد نمایید:
cEdge40#request platform software sdwan vedge_cloud activate chassis-number [CSR] token [OTP]
با دستور زیر میتوانید Verify نمایید:
cEdge40#show sdwan control local-properties
همچنین میتوان قبل از تغییر حالت دستگاه از Anonymous به Controller میتوان این فایل را دانلود کرد و نام آن را به ciscosdwan_cloud_init.cfg تغییر و بوسیله راه اندازی سرور tftd و یا ftd و یا بوسیله scp برروی bootflash دستگاه قرار داد تا روتر بصورت خودکار با خواندن این فایل لود شود. در این فایل باید uuid ، otp ، vbond و organization مشخص شده باشد.
همچنین برای تحقق Zero touch provisioning میتوان با اضافه کردن template های از پیش تعریف شده در این فایل و بواسطه vManage، تمامی تنظیمات لازمه را برروی روتر و پس از بوت در حالت کنترلر اعمال نمود.
فایل Certificate
همچنین فایل ROOTCA.pem را از روی Shell سیسکو vManage با دستور زیر برروی bootflash دستگاه کپی کنید.
VManage: ~$ scp ROOTCA.pem [email protected]:bootflash:/ROOTCA.pem
با دستور زیر از وجود فایل ها مطمئن شوید:
Router#dir bootflash
و با دستور زیر آن را نصب نمایید:
Router#Request platform software sdwan root-cert-chain install bootflash:ROOTCA.pem
در آخر با دستور زیر میتوانید از نصب آن مطمئن شوید:
Router#show sdwan certificate root-cert-chain
برای حالتی که روتر برروی مود عادی باشد ( Anonymous ) پس از قرار دادن فایل لایسنس vManage و خروجی حاصله از لایسنس های Viptela در bootflash دستگاه و در نهایت قرار دادن دستگاه در مود Controller، دستگاه بعد از ریبوت و پس از تنظیم مقدماتی میتواند درون شبکه SD-WAN وارد شود. لازم بذکر است در حالت پیشرفته تر با درنظر گرفتن Template ها میتواند Zero Touch Provisioning را نیز درون شبکه فعال کرد تا تمامی اجزای جدید شبکه SD-WAN بلافاصله پس از راه اندازی و ارتباط با vBond تمامی تنظیمات از پیش تعریف شده را دریافت و در شبکه ورود کنند.
تایید نهایی
برای اینکه مطمئن شوید تمامی مراحل کامل انجام شده اند وارد پنل vManage شوید. تمامی کنترلرها و روترها باید در بخش داشبورد اصلی و Devices شناسایی شده و فعال باشند:
پیاده سازی SD-WAN سیسکو
