取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

【原创】思科SDWAN上线(Demo Record)

341
查看次数
15
有帮助
4
评论
Rps-Cheers
Rising star

相信大家对SDWAN已经不陌生了,目前也越来越多的客户在部署SDWAN,这里就不多说其他的了,直接切入正题,我们这里做一个简单的测试。使用EVE模拟vManage、vBond、vSmart、vEdge的上线过程。

备注:该操作中涉及的IP地址&拓扑等内容,均非现网环境,为测试使用!

1、EVE-NG环境中部署SDWAN镜像。

Cisco SDWAN 用到的镜像主要有控制器镜像:vManage、vSmart、vBond(vBond 和vEdge使用相同的镜像),路由器镜像有:vEdge、cEdge ,我们使用到的路由器镜像vEdge为vEdge Cloud,cEdge为CSR1000V。

这些镜像我们都可以在Cisco官方下载。

https://software.cisco.com/download/home/286320995/type

1.1、EVE-NG中添加SDWAN镜像

当镜像准备好之后,我们可以参考EVE-NG的官网镜像的添加。如下是EVE-NG提供参考的镜像,我们这里使用的20.3.3版本。

图像_2021-09-18_110225.png

https://www.eve-ng.net/index.php/documentation/howtos/howto-add-cisco-viptela-images-set/

比较重要的是vManage的添加。因为为其运行需要另外100G的空间。(如下EVE-NG指南示例所示)

图像_2021-09-18_110821.png

玩儿过EVE的小伙伴儿都应该知道,这些镜像应该存放在/opt/unetlab/addons/qemu目录,我们可以使用WinSCP等工具方便快捷的将镜像存放到该目录下。如下为最终效果(另外添加了WinServer和L3,L2 R&S设备)。

 

root@eve-ng:~# ls -lR /opt/unetlab/addons/qemu
/opt/unetlab/addons/qemu:
total 40
drwxr-xr-x 2 root root 4096 Sep  4 12:59 asav-941-200
drwxr-xr-x 2 root root 4096 Sep 10 11:17 csr1000vng-universalk9.17.03.03.Amsterdam
drwxr-xr-x 2 root root 4096 Sep  7 10:02 titanium-NX-OSv.7.3.0.D1.1
drwxr-xr-x 2 root root 4096 Sep  3 19:13 vios-15.5.3M
drwxr-xr-x 2 root root 4096 Sep  3 19:13 viosl2-15.2.4.55e
drwxr-xr-x 2 root root 4096 Sep  3 19:14 vtbond-20.3.3
drwxr-xr-x 2 root root 4096 Sep  3 19:14 vtedge-20.3.3
drwxr-xr-x 2 root root 4096 Sep  3 19:15 vtmgmt-20.3.3
drwxr-xr-x 2 root root 4096 Sep  3 19:15 vtsmart-20.3.3
drwxr-xr-x 2 root root 4096 Sep  7 10:01 winserver-2012r2-datacenter

/opt/unetlab/addons/qemu/asav-941-200:
total 152064
-rw-r--r-- 1 root root 155713536 Oct  9  2016 virtioa.qcow2

/opt/unetlab/addons/qemu/csr1000vng-universalk9.17.03.03.Amsterdam:
total 1387972
-rw-r--r-- 1 root root 1421279232 Apr 25 12:57 virtioa.qcow2

/opt/unetlab/addons/qemu/titanium-NX-OSv.7.3.0.D1.1:
total 209344
-rw-r--r-- 1 root root 214368256 Mar 29  2017 hda.qcow2

/opt/unetlab/addons/qemu/vios-15.5.3M:
total 124928
-rw-r--r-- 1 root root 127926272 Oct 24  2016 virtioa.qcow2

/opt/unetlab/addons/qemu/viosl2-15.2.4.55e:
total 94592
-rw-r--r-- 1 root root 96862208 Oct 24  2016 virtioa.qcow2

/opt/unetlab/addons/qemu/vtbond-20.3.3:
total 239680
-rw-r--r-- 1 root root 245432320 Aug 28 19:35 virtioa.qcow2

/opt/unetlab/addons/qemu/vtedge-20.3.3:
total 239680
-rw-r--r-- 1 root root 245432320 Aug 28 19:35 virtioa.qcow2

/opt/unetlab/addons/qemu/vtmgmt-20.3.3:
total 1645896
-rw-r--r-- 1 root root 1685192704 Aug 28 19:42 virtioa.qcow2
-rw-r--r-- 1 root root     198656 Sep  3 19:15 virtiob.qcow2

/opt/unetlab/addons/qemu/vtsmart-20.3.3:
total 239684
-rw-r--r-- 1 root root 245432320 Aug 28 19:34 virtioa.qcow2

/opt/unetlab/addons/qemu/winserver-2012r2-datacenter:
total 8868740
-rw-r--r-- 1 root root 9081585664 Jul  8  2017 hda.qcow2
root@eve-ng:~# 

 

所有镜像上传完毕之后,注意使用命令修正权限。

 

# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

 

1.2、设备初始化

1.2.1、部分拓扑展示(对应接口的IP):

图像_2021-09-18_112527.png

1.2.2、vManage

开启vManage,设备启动后,点击设备开始进行配置。输入默认用户名和密码admin/admin后,需要设置新的admin用户的密码。可以保持默认的admin/admin(即依然输入admin作为密码)。进入vmanage 系统后,需要初始化额外添加的100GB硬盘,选择1回车。等待加载完成,重新进入系统即可,如下所示。

 

viptela 20.3.3.1

vmanage login: admin
Password:
Welcome to viptela CLI
admin connected from 127.0.0.1 using console on vmanage
You must set an initial admin password.
Password:
Re-enter password:
Available storage devices:
vdb  100GB
hdc  3GB
1) vdb
2) hdc
Select storage device to use:1
Would you like to format vdb?(y/n)y
...

 

vManage的基础配置:

主要有三部分:①system下内容;②VPN0配置(必选配置);③VPN512配置(虽然实际情况用的不一定多,但是这里还是用于为了和物理机互通,故配置了该内容)

 

vManage# show running-config 
system
 host-name             vManage
 system-ip             1.1.1.1
 site-id               1
 admin-tech-on-failure
 sp-organization-name  sdwan
 organization-name     sdwan
 vbond 10.1.2.2
...
vpn 0
 interface eth1
  ip address 10.1.2.1/24
  tunnel-interface
   allow-service all
   allow-service dhcp
   allow-service dns
   allow-service icmp
   allow-service sshd
   allow-service netconf
   no allow-service ntp
   no allow-service stun
   allow-service https
  !
  no shutdown
 !
 ip route 0.0.0.0/0 10.1.2.254
!
vpn 512
 interface eth0
  ip address 10.22.2.91/24
  no shutdown
 !
 ip route 10.123.123.0/24 10.22.2.98
!

 

1.2.3、VManage GUI

这里输入https://10.22.2.91 即可进入vManage GUI界面。

图像_2021-09-18_115120.png

接下来需要完成的是Organization Name确认、vBond地址确认,这里使用了WinServer AD CS颁发的证书。这里是设置完成的情况(Windows Server安装证书服务器以及申请证书的操作这里就不演示了)

图像_2021-09-18_120454.png

1.2.4、vBond和vSmart初始化

vBond和vSmart的初始化配置如下:

 

vBond# show running-config 
system
 host-name               vBond
 system-ip               2.2.2.2
 site-id                 1
 admin-tech-on-failure
 no route-consistency-check
 organization-name       sdwan
 vbond 10.1.2.2 local
...
!
vpn 0
 interface ge0/0
  ip address 10.1.2.2/24
  ipv6 dhcp-client
  tunnel-interface
   encapsulation ipsec
   allow-service all
   no allow-service bgp
   allow-service dhcp
   allow-service dns
   allow-service icmp
   allow-service sshd
   allow-service netconf
   no allow-service ntp
   no allow-service ospf
   no allow-service stun
   allow-service https
  !
  no shutdown
 !
 ip route 0.0.0.0/0 10.1.2.254
!
vpn 512
 interface eth0
  ip address 10.22.2.92/24
  ipv6 dhcp-client
  no shutdown
 !
 ip route 10.123.123.0/24 10.22.2.98
!

 

vSmart的配置:

 

vSmart# show running-config 
system
 host-name             vSmart
 system-ip             3.3.3.3
 site-id               1
 admin-tech-on-failure
 organization-name     sdwan
 vbond 10.1.2.2
...
vpn 0
 interface eth1
  ip address 10.1.2.3/24
  tunnel-interface
   allow-service all
   allow-service dhcp
   allow-service dns
   allow-service icmp
   allow-service sshd
   allow-service netconf
   no allow-service ntp
   no allow-service stun
  !
  no shutdown
 !
 ip route 0.0.0.0/0 10.1.2.254
!
vpn 512
 interface eth0
  ip address 10.22.2.93/24
  no shutdown
 !
 ip route 10.123.123.0/24 10.22.2.98
!

 

1.2.5、vBond和vSmart设备上线

在configuration>devices界面的Controller界面添加vBond和vSmart,操作内容一致。

图像_2021-09-18_121316.png

接下来完成的操作,就是生成CSR文件,到证书服务器上申请证书,然后安装证书。

图像_2021-09-18_121541.png

当证书申请完成之后,在vManage上安装证书,选择对应文件即可。

图像_2021-09-18_121712.png

安装完成之后,如下所示。

图像_2021-09-18_121857.png

图像_2021-09-18_122004.png

1.2.6、vEdge上线

vEdge上线之前,需要导入edge list,且Edge设备需要安装根证书文件。

这里提到的edge list,可以理解为允许接入SDWAN的edge设备的白名单,是必须要上传的。

定义WAN Edge list文件:

我们可以通过Cisco官网(英文)Smart licensing页面https://software.cisco.com/找到Network Plug and Play点击Manage devices。

图像_2021-09-18_134544.png

进入Plug and Play Connect页面后,点击右上角选择进入相应的Virtual Account。在这里我们可以看到Controller Profiles的选项,添加进去添加。

图像_2021-09-18_134931.png

点击添加Add Profiles,然后进行Add Controller Profile操作。

图像_2021-09-18_140333.png

Next之后可以填写Profiles的名字,组织名字和控制器信息。

注意:如果是多租户部署的情况下,需要将Multi-Tenancy选择为Yes.

图像_2021-09-18_140537.png

设置完成之后,进行下一步,根据对应填写要求完成Step3和Step4,这里就不再补充截图。

Profiles完成之后,生成文件如下:

图像_2021-09-18_141417.png

我们可以点击Provisioning File下载该文件,最后是一个.viptela后缀的文件,接下来需要在vManage上导入该文件。

17.png

选中下载的.viptela后面的edge list文件,然后点击Upload

图像_2021-09-18_142110.png

上传完成之后示例如下:接下来要完成的就是vEdge设备的上线。

19.png

vEdge设备配置:

vedge需要完成如下的配置。

 

Center-vEdge# show run
system
 host-name               Center-vEdge
 system-ip               4.4.4.4
 site-id                 1
 admin-tech-on-failure
 no route-consistency-check
 organization-name       sdwan
 vbond 10.1.2.2
...
vpn 0
 interface ge0/0
  ip address 10.1.2.4/24
  ipv6 dhcp-client
  tunnel-interface
   encapsulation ipsec
   color biz-internet
   allow-service all
   no allow-service bgp
   allow-service dhcp
   allow-service dns
   allow-service icmp
   no allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service ospf
   no allow-service stun
   allow-service https
  !
  no shutdown
 !
 ip route 0.0.0.0/0 10.1.2.254
!
vpn 512
 interface eth0
  ip address 10.22.2.94/24
  ipv6 dhcp-client
  no shutdown
 !
 ip route 10.123.123.0/24 10.22.2.98
!

 

安装根证书:首先从FTP上将根证书下载下来,然后进行安装。

 

Center-vEdge# request download vpn 512 ftp://10.22.2.96/certnew.cer
Center-vEdge# request root-cert-chain install home/admin/certnew.cer

 

完成基础配置、安装根证书之后。先尝试ping控制器地址,确保与3台控制器的联通性正常。同时检查设备的时间,确保设备时间与CA证书的时间同步,否则会影响设备上线。

 

Center-vEdge# ping 10.1.2.1                                              
Ping in VPN 0
PING 10.1.2.1 (10.1.2.1) 56(84) bytes of data.
64 bytes from 10.1.2.1: icmp_seq=1 ttl=64 time=17.0 ms
^C
--- 10.1.2.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 17.011/17.011/17.011/0.000 ms
Center-vEdge# ping 10.1.2.2
Ping in VPN 0
PING 10.1.2.2 (10.1.2.2) 56(84) bytes of data.
64 bytes from 10.1.2.2: icmp_seq=1 ttl=64 time=38.2 ms
^C
--- 10.1.2.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 38.210/38.210/38.210/0.000 ms
Center-vEdge# ping 10.1.2.3
Ping in VPN 0
PING 10.1.2.3 (10.1.2.3) 56(84) bytes of data.
64 bytes from 10.1.2.3: icmp_seq=1 ttl=64 time=9.81 ms
^C
--- 10.1.2.3 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 9.814/9.814/9.814/0.000 ms

 

由于这里是vEdge设备,所以我们还需要进行激活操作。

vEdge激活操作

在刚才伤处的Edge list中,选择Generate Bootstrap Configuration,并使用默认的选项,然后点击OK,在生成的信息中,可以看到uuid和otp,这个就是我们激活设备时使用的chassis number和token.

图像_2021-09-18_144735.png

图像_2021-09-18_144841.png

vEdge设备激活操作及最终上线:

Center-vEdge# request vedge-cloud activate chassis-number x token y

稍候片刻,vEdge经过生成证书请求文件,vManage签发证书给vEdge后,vEdge将正式上线。此时在vManage上我们看到的情况就是如下内容了:

图像_2021-09-18_145136.png

后续就可以开始完成更多的操作了~

 

 

 

4 评论
Rps-Cheers
Rising star

@Yanli Sun 要是社区可以贴图的话,不用一个一个选择就好了~~

Yanli Sun
Community Manager

@Rps-Cheers 

感谢分享和反馈,辛苦辛苦。

我们会向社区平台团队反馈您的建议。

Terence.Jh
Rising star

反馈三年了。。。。。

Yanli Sun
Community Manager

@Terence.Jh  抱歉抱歉 希望能够尽快为大家解决这个问题