Ngoài những gì chúng ta đã hiểu và nắm được ở trên, chúng ta còn nắm được cách triển khai một mạng SD - WAN overlay kết nối các controllers với các bộ định tuyến WAN Edge với các chức nă
Trang 1TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI TP HỒ CHÍ MINH
Đề tài:
Giảng viên hướng dẫn : Phan Thị Hồng Nhung
Sinh viên thực hiện: Trần Hoàng Thông MSSV: 1651150036
TP Hồ Chí Minh, tháng 5 năm 2020
Trang 2L ỜI CAM ĐOAN
Chúng em xin cam đoan những nội dung trong báo cáo thực tập tốt nghiệp này là do nhóm chúng em thực hiện dưới sự hiểu biết và tìm hiểu của cả nhóm Mọi tham khảo dùng trong báo cáo thực tập tốt nghiệp này đều có nguồn gốc rõ ràng và được trích dẫn theo quy định
Sinh viên thực hiện,
Trần Hoàng Thông – Nguyễn Thị Mỹ Uyên
Trang 3NH ẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
Tp Hồ Chí Minh, ngày … tháng … năm 2020
Giảng viên hướng dẫn
Ths Phan Thị Hồng Nhung
Trang 4NH ẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
………
Tp Hồ Chí Minh, ngày … tháng … năm 2020
Giảng viên phản biện
Trang 5M ỤC LỤC
LỜI MỞ ĐẦU 1
1 Tính cấp thiết của đề tài 1
2 Tình hình nghiên cứu 1
3 Mục đích nghiên cứu 1
4 Nhiệm vụ nghiên cứu 2
5 Phương pháp nghiên cứu 2
6 Các kết quả đạt được của đề tài 2
7 Kết cấu của báo cáo thực tập tốt nghiệp 3
CHƯƠNG I: CÔNG NGHỆ SD - WAN 3
1.1 Định nghĩa SD - WAN 3
1.2 Tại sao nên triển khai SD - WAN? 4
1.3 Khái niệm mạng Fabric 5
1.4 Lợi ích của SD - WAN 6
1.4.1 Giảm chi phí mạng WAN 6
1.4.2 Tăng hiệu suất mạng WAN 7
1.4.3 Cải thiện tính linh hoạt của mạng WAN 7
1.4.4 Quản lý mạng WAN đơn giản hóa 8
1.4.5 Tăng tính khả dụng của mạng WAN 8
1.4.6 Cải thiện bảo mật Edge-to-Edge 8
1.4.7 Tăng độ tin cậy và phản hồi 9
1.4.8 Truyền dữ liệu chất lượng cao hơn 9
1.5 Các kiến trúc và thành phần của SD - WAN 9
1.5.1 Orchestration Plane (vBond) 10
1.5.2 Management Plane (vManage) 10
1.5.3 Control Plane (vSmart, OMP) 11
1.5.4 Data Plane (vEdge) 11
1.6 Mô tả các loại nền tảng WAN Edge 13
CHƯƠNG II: CÁC VẤN ĐỀ TRIỂN KHAI SD - WAN 14
2.1 Mô tả triển khai Controllers 14
2.1.1 Mô tả triển khai On-Prem Controller 14
Trang 62.1.2 Tổng quan về tính khả dụng và dự phòng Controller 16
2.2 Mô tả triển khai bộ định tuyến 21
2.2.1 Quy trình triển khai thủ công 21
2.2.2 Quy trình triển khai Bootstrap 22
2.2.3 Quy trình triển khai ZTP 24
2.2.4 Quy trình triển khai Plug-and-play: 25
2.3 Chính sách CISCO SD - WAN 27
2.3.1 Tổng quan về chính sách 27
2.3.2 Centralized and Localized Policy 29
2.3.3 Control and Data Policy 31
2.4 Mô tả vấn đề Security và QOS 35
2.4.1 Mô tả tường lửa nhận biết ứng dụng 35
2.4.2 Tổng quan chuyển tiếp và QOS 37
2.5 Mô tả triển khai quản lý và giám sát trên vManage 43
2.5.1 Geography 43
2.5.2 Network 48
2.5.3 Alarms 52
2.5.4 Event 57
2.5.5 Audit_Log 59
2.5.6 ACL_Log 63
2.5.7 Mô tả nâng cấp phần mềm từ vManage 64
CHƯƠNG III: MÔ PHỎNG TRIỂN KHAI GIẢI PHÁP CISCO SD - WAN 68
3.1 Giới thiệu môi trường giả lập 68
3.2 Phân tích mô phỏng triển khai giải pháp CISCO SD - WAN 68
3.2.1 Quy trình thực hiện CISCO SD - WAN Overlay 68
3.2.2 Phân tích yêu cầu 69
3.2.3 Thiết kế mô hình 70
3.2.4 Các giao thức sử dụng trong mô phỏng 70
3.3 Quy hoạch địa chỉ IP, System IP và Site ID cho các thiết bị 71
3.4 Các bước setup thiết bị 74
3.5 Kết quả mô phỏng 83
KẾT LUẬN 89
Trang 71 Kết quả đạt được 89
2 Phương hướng phát triển 89
TÀI LIỆU THAM KHẢO 90
Trang 8DANH M ỤC BẢNG
Bảng 3.1: Bảng quy hoạch địa chỉ IP chi nhánh 1 71
Bảng 3.2: Bảng quy hoạch địa chỉ IP chi nhánh 2 71
Bảng 3.3: Bảng quy hoạch địa chỉ IP chi nhánh 3 72
Bảng 3.4: Bảng quy hoạch địa chỉ IP chi nhánh 4 72
Bảng 3.5: Bảng quy hoạch địa chỉ IP DATA CENTER 72
Bảng 3.6: Bảng quy hoạch System IP và Site ID 73
Bảng 3.7: Color and transport details 73
Trang 9DANH M ỤC HÌNH
Hình 1.1: Các kiến trúc và thành phần của SD - WAN 10
Hình 2.1: Các thành phần kiến trúc trong cụm vManage 18
Hình 2.2: Các tùy chọn triển khai WAN Edge On-Broading 21
Hình 2.3: Tiến trình Bootstrap 23
Hình 2.4: Tiến trình ZTP 24
Hình 2.5: Tiến trình PnP 26
Hình 2.6: Sự phân chia chính sách 28
Hình 2.7: Các kết nối giữa vSmart và vEdge 32
Hình 2.8: Các kết nối giữa vSmart và vEdge 34
Hình 2.9: Mô tả chi tiết quá trình truyền dữ liệu giữa các site 40
Hình 2.10: Chính sách QOS cho gói dữ liệu truyền giữa các site 41
Hình 2.11: Giao diện giám sát Geography 45
Hình 2.12: Giao diện giám sát Network 50
Hình 2.13: Giao diện giám sát Network chi tiết từng thiết bị 52
Hình 2.14: Giao diện giám sát Alarms 54
Hình 2.15: Giao diện giám sát Event 58
Hình 2.16: Giao diện giám sát Audit_Log 61
Hình 2.17: Giao diện giám sát ACL_Log 64
Hình 3.1: Quy trình triển khai CISCO SD - WAN Overlay 68
Hình 3.2: Mô hình tổng quan triển khai giải pháp SD - WAN 70
Hình 3.3: Mô hình triển khai giải pháp SD - WAN 71
Hình 3.4: Cấu hình các thông số cơ bản 74
Hình 3.5: Quá trình tạo file rootCA.key và rootCA.pem 75
Hình 3.6: Quá trình cài đặt chứng chỉ trên vManage 75
Hình 3.7: Giao diện tạo chứng chỉ CSR 75
Hình 3.8: Quá trình tạo file vmanage.csr và vmanage.crt 76
Hình 3.9: Cấu hình cơ bản trên vBond 76
Hình 3.10: Minh họa quá trình lấy các file rootCA.key và rootCA.pem từ vManage trên vBond 77
Hình 3.11: Quá trình cài đặt chứng chỉ trên vBond 77
Hình 3.12: Giao diện thêm Controllers 77
Hình 3.13:Quá trình tạo file vbond.csr và vbond.crt 78
Trang 10Hình 3.14: Minh họa quá trình lấy các file rootCA.key và rootCA.pem từ vManage
trên CN1 79
Hình 3.15: Quá trình cài đặt chứng chỉ trên CN1 79
Hình 3.16: Quá trình cài đặt chứng chỉ csr trên CN1 79
Hình 3.17: Quá trình cài đặt chứng chỉ crt trên CN1 80
Hình 3.18: Kiểm tra số chassis và serial 80
Hình 3.19: Kích hoạt chứng chỉ trên CN1 80
Hình 3.20: Giao diện upload WAN Edge List 81
Hình 3.21: Phiên bản phần mềm vManage 83
Hình 3.22: Phiên bản phần mềm vSmart, vBond 83
Hình 3.23: Danh sách các thiết bị SD - WAN Edge 83
Hình 3.24: Giao diện chính vManage 84
Hình 3.25: Danh sách các Controllers 84
Hình 3.26: Danh sách Cisco SD - WAN Edge 85
Hình 3.27: Giao diện các thành phần controllers trong giám sát mạng Geography 85
Hình 3.28: Danh sách các thành phần SD - WAN trong giám sát Network 86
Hình 3.29: Kiểm tra giao thức OMP trên vSmart1 86
Hình 3.30: Kiểm tra hoạt động của giao thức BFD trên DC 86
Hình 3.31: Kiểm tra routing tại Cisco SD - WAN WAN Edge DC 87
Hình 3.32: Ping PCCN1 > Chi nhánh 2, Chi nhánh 3 88
Hình 3.33: Ping PCCN1 > Chi nhánh 4, Chi nhánh DATA CENTER 88
Trang 11DANH M ỤC CÁC TỪ VIẾT TẮT
Trang 12LAN Local area network
Trang 13TLOC Transport Locations
Trang 14L ỜI MỞ ĐẦU
1 Tính cấp thiết của đề tài
Ngày nay, một thách thức về mối quan tâm tối ưu hóa hiệu suất của mạng WAN là khi các ứng dụng đang hoạt động, chúng không còn được thiết lập chỉ tại một địa điểm cố định như trung tâm dữ liệu hay trụ sở chính của công ty, mà được thiết kế dạng “hub-and-spoke” hay giao thức dạng sao (Star Topology), giúp dễ dàng truy cập Do vậy, các ứng dụng đang có xu hướng dựa trên công nghệ điện toán đám mây, chuyển sang cung cấp dịch vụ trên nền web Việc này dẫn đến sự xung đột với nguyên tắc bảo mật truyền thống, khi mà mọi kết nối của người dùng đều được giám sát qua cổng bảo mật trung tâm trước khi kết nối đến ứng dụng trên web
Rõ ràng đây không phải là cách sử dụng băng thông tối ưu Các công ty phải trả một khoản phí hàng tháng khá lớn cho đường truyền kết nối MPLS dành riêng cho công ty với yêu cầu cao về tốc độ, tính ổn định, chất lượng dịch vụ… nhưng chỉ phục vụ kết nối Internet đơn giản Phương án thực tế hơn là đảm bảo kết nối vào internet hay dịch vụ trên web tại các chi nhánh với băng thông theo yêu cầu người dùng, hỗ trợ nhiều phương
án kết nối WAN theo thực tế, trong khi duy trì chính sách bảo mật là giải pháp cần cân nhắc Giải pháp lai (WAN Hybrid), tương thích nhiều phương án kết nối WAN vật lý kết hợp sử dụng phần mềm để tối ưu kết nối logic mạng WAN (SD - WAN: Software-Defined WAN) cho doanh nghiệp/công ty được phát triển nhằm mục đích này
Chính vì tầm quan trọng của giải pháp SD - WAN trong việc tối ưu hóa mạng WAN nên nhóm chúng em quyết định chọn đề tài: “Nghiên cứu giải pháp CISCO SD -WAN và triển khai CISCO SD - WAN trong doanh nghiệp nhỏ sử dụng phần mềm giả lập EVE”
2 Tình hình nghiên cứu
Đề tài nghiên cứu về SD - WAN hiện nay chưa phổ biến
Trang 15Mục đích chính của đề tài là tìm hiểu giải pháp SD - WAN, các triển khai và phương pháp kết nối các thành phần controllers
Đề tài hướng tới kết quả hiểu rõ và nắm kĩ giải pháp SD - WAN để có thể triển khai trong doanh nghiệp nhằm khắc phục những hạn chế của mạng WAN truyền thống qua
đó đáp ứng nhu cầu tối ưu hóa hiệu suất mạng WAN của các doanh nghiệp
Tìm hiểu về tổng quan SD - WAN (ví dụ như: định nghĩa, các khái niệm, thành phần, kiến trúc) nhìn nhận các vấn đề tồn tại trong mạng WAN truyền thống mà sự ra đời của công nghệ SD - WAN giúp khắc phục những hạn chế đó Đồng thời cũng tìm hiểu về các đặc trưng của SD - WAN cũng như lợi ích, hạn chế mà nó đem lại cho các doanh nghiệp thời đại 4.0 Chúng ta cần nắm được các thành phần cấu trúc của SD - WAN và hiểu rõ nó Hiểu và biết phương thức hoạt động của giải pháp SD - WAN
Ngoài ra cũng tìm hiểu cách triển khai các thành phần của giải pháp SD - WAN một cách tối ưu hóa, cũng như các dịch vụ được cung cấp bởi giải pháp SD - WAN
Trong quá trình nghiên cứu chúng em sử dụng phương pháp đọc tài liệu tiếng anh, tìm kiếm tài liệu trên Internet, thực hiện mô phỏng trên hệ thống EVE-NG
6 Các k ết quả đạt được của đề tài
Chúng ta đã hiểu và nắm rõ định nghĩa, các khái niệm, thành phần, kiến trúc, các nền
tảng cũng như lợi ích, tầm quan trọng, hướng phát triển của công nghệ SD - WAN Đồng thời, hiểu và nắm rõ cách thức triển khai các controllers, các loại triển khai bộ định tuyến WAN Edge, bảo mật và QoS, và hiểu rõ các chính sách cũng như cách thức giám sát và quản lý hoạt động của SD - WAN Hiểu rõ các giao thức quan trọng trong mạng
SD - WAN overlay như là BFD, OMP
Trang 16Ngoài những gì chúng ta đã hiểu và nắm được ở trên, chúng ta còn nắm được cách triển khai một mạng SD - WAN overlay kết nối các controllers với các bộ định tuyến WAN Edge với các chức năng cơ bản và hiểu rõ các mô hình triển khai truy cập Direct Internet trong các chi nhánh SD - WAN
7 K ết cấu của báo cáo thực tập tốt nghiệp
Báo cáo thực tập tốt nghiệp có kết cấu gồm 3 chương với các nội dung chính sau đây:
Chương 1: TỔNG QUAN SD - WAN
Chương 2: CÁC VẤN ĐỀ TRIỂN KHAI SD - WAN
Chương 3: MÔ PHỎNG TRIỂN KHAI GIẢI PHÁP CISCO SD - WAN
CHƯƠNG I: CÔNG NGHỆ SD - WAN
Trang 17Trong bối cảnh các doanh nghiệp ngày càng phát triển, có nhu cầu rất lớn về lưu lượng truy cập của các thiết bị di động và internet vạn vật (IoT), ứng dụng SaaS và các dịch vụ đám mây Ngoài ra, nhu cầu bảo mật ngày càng tăng và các ứng dụng đòi hỏi sự ưu tiên
và tối ưu hóa, và do đó khi sự phực tạp này càng tăng lên thì chúng ta nỗ lực tìm cách
giảm chi phí thiết bị và vận hành, trong đó quan trọng nhất vẫn là tính sẵn sàng cao và khả năng mở rộng của hệ thống
Các thách thức lớn mà các kiến trúc WAN kế thừa đang phải đối mặt trong bối cảnh công nghệ càng ngày càng phát triển mạnh Các kiến trúc WAN kế thừa bao gồm nhiều đường truyền MPLS hoặc các đường truyền MPLS kết hợp với Internet hoặc LTE được
sử dụng theo kiểu action/backup Các vấn đề của kiến trúc này bao gồm việc thiếu băng thông cùng với chi phí băng thông cao, thời gian gián đoạn dịch vụ cao và hiệu suất SaaS kém, hoạt động phức tạp, quy trình làm việc phức tập để kết nối đám mấy, thời giam triển khai và thay đổi chính sách dài, gây khó khăn trong bảo mật mạng
Trong những năm gần đây, giải pháp mạng diện rộng (SD - WAN) kết hơp SDN để giải quyết những thách thức này SD - WAN là một phần của công nghệ mạng được định nghĩa bằng phần mềm (SDN), giúp đơn giản hóa việc quản trị và vận hành, giám sát và
xử lý sự cố tập trung của một hệ thống mạng WAN và cho phép tự động quá mạng nhiều hơn bằng cách tách biệt phần điều khiển đưa ra khỏi phần cứng và đưa lên quản lý tập trung tại thành phần controllers
Giải pháp SD - WAN cho phép doanh nghiệp có thể thực hiện chuyển đổi số và đám mây SD - WAN tích hợp các chức năng định tuyến, bảo mật, chính sách tập trung và điều phối cho các mạng doanh nghiệp quy mô lớn Nó giành cho nhiều loại hình doanh nghiệp sử dụng, phân phối trên nền tảng đám mây, tự đông hóa, tính sẵn sàng cao, có khả năng mở rộng và phân tích ứng dụng một cách đa dạng Nó có một số lợi ích sau:
Trang 18• Giúp tối ưu hóa hiệu suất và giảm chi phí băng thông thông qua sự kết hợp giữa các mạng Internet băng thông rộng chi phí thấp như MPLS truyền thống, LTE hay bất kì kết nối Internet nào điều được
• Giúp đơn giản hóa trong việc quản lý tập trung và quản lý chính sách, nâng cao
hiệu suất tự động hóa, cũng như đơn giản hóa hoạt động, đồng thời dẫn đến rút
ngắn thời gian kiểm soát và triển khai những thay đổi trong hệ thống
• Có thể triển khai linh hoạt bất kì đâu với kết nối Internet Để sở hữu tính linh hoạt trong triển khai, SD - WAN sử dụng cấu trúc tách biệt giữa mặt phẳng điều khiển
và mặt phẳng dữ liệu Bộ định tuyến có thể triển khai tại công ty hoặc đám mây
hoặc kết hợp cả hai Với việc có thể triển khai các bộ định tuyến Cisco vEdege
với hình thức vật lý hoặc ảo thì nó có thể được triển khai ở bất cứ đâu
• Nó cung cấp khả năng hiển thị, nhận dạng ứng dụng và các chính sách nhận biết ứng dụng với việc thực thi thỏa thuận cấp dịch vụ (SLA) theo thời gian thực
• Có khả năng phân tích đa dạng với khả năng hiển thị các ứng dụng và cơ sở hạ
tầng, cho phép khắc phục sự cố nhanh chóng, hỗ trợ dự báo và phân tích để lập
kế hoạch tài nguyên hiệu quả
Trong kiến trúc hạ tầng mạng SD - WAN, thuật ngữ Network Fabric được thường xuyên
nhắc đến Trên hạ tầng mạng thế hệ mới cho phép các ứng dụng chạy trực tiếp trên nó, chúng ta có thể xem hạ tầng mạng mới như một thực thể duy nhất cung cấp nối cho người dùng hoặc thiết bị có chung đặc tả về cấu trúc ít thay đổi được gọi là mạng trục Fabric Mạng trục Fabric thường cung cấp ba chức năng chính gồm: bảo mật, khả năng
mở rộng và khả năng tích hợp đa dạng giải pháp Sau đây là ba thuộc tính quan trọng
nhất của mạng trục Fabric
Trang 19• Đầu tiên, tính nhất quán nghĩa là cấu trúc của nó được thiết kế tốt và có tính lặp lại Để nói một sơ đồ có tính lặp lại, trong sơ đồ sẽ có những thành phần tương tự nhau để đáp ứng khả năng mở rộng
• Thứ hai, khi thiết kế khả năng mở rộng của mạng fabric thiết kế vật lý bên dưới được tách biệt ra khỏi tầng luận lý, tầng ảo Phần tách biệt này càng rõ ràng càng
tốt Khả năng mở rộng của một sơ đồ mạng là một chỉ dấu cho kiến trúc mạng fabric Đặc biệt là các mạng fabric thường có xu hướng mở rộng theo hướng scale-out mà không là scale-up Sự khác nhau giữa việc thêm vào các thiết bị/module hay việc thay thế và nâng cấp các thiết bị hiện có chính là sự khác nhau giữa scale-
up (thay thế thiết bị) và scale-out (thêm thiết bị) Theo nguyên tắc là mạng trục fabric là scale-out, chứ không scale-up Mạng kiến trúc kiểu cũ thì scale-up, không scale-out[11]
• Thứ ba, hiệu năng của mạng fabric là yếu tố quan trọng Chúng ta thường đặt các mục tiêu về hiệu năng của mạng xung quanh các khái niệm về QoS và thời gian
hoạt động của mạng trục Fabric cũng có các mục tiêu tương tự, tuy nhiên có vài điểm khác biệt Ví dụ: Tần suất sự cố thường đo lường theo các rack/pod chứ không theo “toàn bộ mạng” Phần lớn các ứng dụng ngày nay được thiết kế để có
thể hoạt động độc lập khi di chuyển giữa các rack/pod Vì vậy khi một rack bị sự
cố, một kết nối bị sự cố chúng ta có thể dễ dàng khắc phục bằng cách di chuyển ứng dụng đó sang rack/pod khác[11]
1.4.1 Giảm chi phí mạng WAN
Do chi phí băng thông MPLS cao hơn đáng kể so với băng thông Internet công cộng Chính xác thì đắt hơn bao nhiêu sẽ phụ thuộc vào một số nhu cầu cụ thể Ngoài ra, việc cung cấp một liên kết MPLS thường mất vài tuần hoặc vài tháng, trong khi việc triển khai SD - WAN tương đương thường có thể được hoàn thành sau vài ngày Với việc thời
Trang 20gian triển khai SD - WAN nhanh hơn đáng kể so với mạng MPLS truyền thống giúp doanh nghiệp giảm chi phí đáng kể và tăng doanh thu Cụ thể MPLS gấp 4 lần chi phí
SD - WAN dựa trên đám mây mặc dù MPLS chỉ cung cấp một phần tư băng thông
1.4.2 Tăng hiệu suất mạng WAN
Trước khi điện toán đám mây và thiết bị di động thông minh bùng nổ trên thế giới, MPLS luôn là lựa chọn hàng đầu cho các doanh nghiệp cần triển khai mạng WAN Khi điện toán đám mây và thiết bị di động trở thành xu hướng được ưa chuộng hơn, người ta nhận
ra rằng MPLS rất tốt trong việc định tuyến lưu lượng đáng tin cậy giữa hai IP tĩnh, nhưng
nó không đáp ứng được như cầu của điện toán đám mây và thiết bị di dộng Với MPLS, các doanh nghiệp phải đối mặt với hiệu ứng trombone trực tiếp Về cơ bản, một mạng WAN dựa trên MPLS sẽ truyền tải không hiệu quả lưu lượng truy cập Internet đến trung tâm dữ liệu của công ty gây ra giảm hiệu suất mạng và các dịch vụ
Mặc khác, SD - WAN cho phép định tuyến dựa trên chính sách (PbR) và cho phép doanh nghiệp tận dụng phương thức vận chuyển tốt nhất (ví dụ: xDSL, cáp, 5G, v.v.) cho công
việc, điều này có nghĩa là không còn hiệu ứng trombone và hiệu suất được cải thiện cho người dùng di động và các dịch vụ đám mây
Ngoài việc giải quyết vấn đề định tuyến trombone, SD - WAN là một công cụ thay đổi khi nói đến hiệu suất người dùng cuối Khả năng tương tự để tận dụng các phương thức truy cập Internet khác nhau cho phép một cách tiếp cận tiên tiến hơn để liên kết liên kết
có thể cải thiện đáng kể khả năng phục hồi và tính sẵn sàng ở người dùng cuối
1.4.3 Cải thiện tính linh hoạt của mạng WAN
MPLS không được thiết kế với sự linh hoạt cao Mặt khác, SD - WAN được thiết kế để cho phép tối đa hóa sự linh hoạt Bằng cách trừu tượng hóa sự phức tạp tiềm ẩn của nhiều phương thức vận chuyển và cho phép PbR, SD - WAN cho phép doanh nghiệp đáp ứng
Trang 21các nhu cầu khác nhau về khối lượng công việc đám mây và tăng hoặc giảm quy mô một cách dễ dàng
1.4.4 Quản lý mạng WAN đơn giản hóa
Ngày nay quy mô doanh nghiệp ngày càng lớn, việc quản lý mạng WAN ngày càng phức
tạp Nhiều thiết bị được sử dụng phục vụ mạng WAN gây gánh nặng lớn trong cách thức bảo trì và quản lý khi doanh nghiệp mở rộng quy mô Trong đó, những cách thức của
quản lý mạng truyền thống là không thể cung cấp khả năng hiển thị mạng một cách chi
tiết, dẫn đến việc theo dõi và khác phục các sự cố trở nên khó khăn hơn Công nghệ SD
- WAN dựa trên đám mây cung cấp các chế độ xem tích hợp và tập trung của mạng giúp
dễ dàng quản lý theo quy mô
1.4.5 Tăng tính khả dụng của mạng WAN
Trong môi trường mạng doanh nghiệp, MPLS có độ tin cậy rất cao nhưng nó có thời gian dự phòng và chuyển đổi dự phòng khá chậm Dự phòng ở nhà cung cấp MPLS là rất tốn kém và mất nhiều thời gian Công nghệ SD - WAN sẽ tận dụng tối đa các đường truyền Internet hay LTE cho phép SD - WAN có tính sẵn sàng cao tránh lỗi, khôi phục
hoạt động, dự phòng một cách nhanh chống Hơn thế nữa, các tính năng tự động phục
hồi của SD - WAN dựa trên đám mây giúp đạt được tối đa tính sẵn sàng một cách đơn
giản khi dùng mạng MPLS truyền thống
1.4.6 Cải thiện bảo mật Edge-to-Edge
Trong môi trường mạng ngày nay, các rủi ro tiềm ẩn về an ninh mạng ngày càng cao với
việc người dùng có thể yêu cầu quyền truy cập vào các ứng dụng quan trọng trong doanh nghiệp Để tránh những rủi tiềm ẩn này SD - WAN có các giao thức bảo mật được xây
dựng cùng với khả năng mã hóa mạnh mẽ để đảm bảo rằng chỉ có những người dùng được ủy quyền mới có thể truy cập và sử dụng các tài nguyên, ứng dụng trong mạng doanh nghiệp
Trang 221.4.7 Tăng độ tin cậy và phản hồi
Trong một mạng doanh nghiệp thì liên kết và tốc độ đều đóng vai trò quan trọng tương đương với việc truyền dữ liệu Do đó để đạt được bảo mật mạng tối đa, lưu lượng hóa ứng dụng sẽ dựa trên đám mấy sử dụng các kết nối Internet trực tiếp để đạt được hiệu
suất đợn giản và nhất quán trên đám mây Ngoài ra, trạng thái của các liên kết sẽ được theo dõi thường xuyên đảm bảo các chi nhánh được kết nối và các hoạt động không bị gián đoạn
1.4.8 Truyền dữ liệu chất lượng cao hơn
Trong môi trường Internet ngày nay, đặc biệt là trong môi trường mạng doanh nghiệp không phải tất cả các ứng dụng đều có mức độ quan trọng giống nhau Trong đó có một
số ứng dụng chỉ cần truyền đến đích là được, nhưng một số khác đòi hỏi chất lượng và
hiệu suất cao hơn như Voice, Video call, … để phù hợp với tốc độ trải nghiệm mà người dùng mong đợi Điều này giúp chuyển hướng lưu lượng đến đường dẫn dự phòng SD - WAN hỗ trợ tốt mức độ ưu tiên lưu lượng và quản lý tắc nghẽn giúp duy trì dữ liệu và lưu lượng chất lượng cao tốt hơn
Giải pháp Cisco SD - WAN bao gồm kiến trúc 4 mặt phẳng gồm: mặt phẳng điều phối,
quản lý, điều khiển và dữ liệu tách biệt nhau Nó có 4 thành phần bao gồm: vManage, vSmart, vBond, vEdge Hình ảnh dưới đây sẽ chỉ ra từng thành phần cụ thể:
Trang 23Hình 1.1: Các kiến trúc và thành phần của SD - WAN
1.5.1 Orchestration Plane (vBond)
Mặt phẳng điều phối kết nối giữa mặt phẳng quản lý, điều khiển và dữ liệu Nó hỗ trợ onboarding một cách an toàn trên các bộ định tuyến SD - WAN WAN Edge vào trong
SD - WAN overlay
Bộ điều khiển vBond, hoặc bộ điều phối, có chức năng xác thực và ủy quyền các thành
phần SD - WAN Bộ điều phối vBond có thêm trách nhiệm phân phối danh sách thông tin bộ điều khiển vSmart và vManage cho các bộ định tuyến WAN Edge
1.5.2 Management Plane (vManage)
Mặt phẳng quản lý chịu trách nhiệm cho cấu hình và giám sát trung tâm
Cisco vManage là thành phần trong mặt phẳng quản lý cung giao điện người dùng GUI cho phép người quản trị có thể dễ dàng định cấu hình kiểm tra, giám sát, chuẩn hóa cấu hình, thay đổi cấu hình, triển khai tự động, … trên toàn bộ hệ thống hạ tầng mạng SD - WAN
Trang 24Để hỗ trợ quá trình tự động hóa, vManage sử dụng REST API để gọi các thao tác thay đổi cấu hình hoàn toàn tự động, đồng thời hỗ trợ cả các giao tiếp dòng CLI, gửi cảnh báo theo thời gian thực, nó cũng được xem như một syslog server cơ bản, snmp và netconf
1.5.3 Control Plane (vSmart, OMP)
Mặt phẳng điều khiển xây dựng và duy trì cấu trúc liên kết mạng và đưa ra quyết định
về lưu lượng giao thông
Cisco vSmart là bộ não của giải pháp SD - WAN và nằm trong mặt phẳng control giúp cho vSmart kết nối vào mạng Fabric dễ dàng hơn Vì các chính sách được tạo trên vManage, vSmart là thành phần chịu trách nhiệm thực thi các chính sách này một cách
tập trung Cisco vSmart thiết lập các kết nối SSL an toàn cho tất cả các thành phần khác trong mạng Nó sử dụng OMP để triển khai chính sách dịch vụ, lưu lượng và VPN, đồng
thời cũng được sử dụng để trao đổi thông tin định tuyến, bảo mật và chính sách giữa các vEdge với nhau
Giao thức quản lý overlay (OMP) là giao thức chịu trách nhiệm thiết lập và duy trì mặt
phẳng điều khiển và sử dụng để quản lý mang overlay OMP chạy giữa bộ điều khiển vSmart và bộ định tuyến WAN Edge nơi thông tin từ mặt phẳng điều khiển như route prefix, route next- hop, khóa mật mã và thông tin chính sách được trao đổi qua các đường
hầm TLS hoặc DTLS Nếu không có chính sách nào được xác định thì mặc định của OMP là cho phép cấu trúc liên kết full mesh, trong đó mỗi bộ định tuyến WAN Edge có
thể kết nối trực tiếp với các bộ định tuyến WAN Edge khác[1]
1.5.4 Data Plane (vEdge)
Mặt phẳng dữ liệu chịu trách nhiệm chuyển tiếp các gói dựa trên các quyết định từ mặt
phẳng điều khiển
Trang 25Các bộ định tuyến Cisco WAN Edge tồn tại trong mặt phẳng dữ liệu chịu trách nhiệm thiết lập các kết nối an toàn để chuyển tiếp lưu lượng, để bảo mật, mã hóa, QoS, ….Các
bộ định tuyến Cisco WAN Edge có nhiều dạng: ảo và vật lý và được chọn dựa trên nhu
cầu kết nối, thông lượng và chức năng của mỗi site
Các bộ định tuyến Cisco WAN Edge tạo thành các đường hầm IPSec với nhau để tạo thành mạng SD – WAN overlay Ngoài ra, một kênh điều khiển được thiết lập giữa các
bộ định tuyến WAN Edge và từng thành phần điều khiển Thông qua kênh điều khiển này, mỗi thành phần nhận thông tin cấu hình, cung cấp và định tuyến
TLOC là bộ định vị vận chuyển tương tự như LISP RLOC hoặc bộ định tuyến định tuyến Cả hai đều trừu tượng chính bộ định tuyến có lợi cho ánh xạ dựa trên vị trí RLOC đại diện cho vị trí định tuyến và không phải là điểm cuối Điều này khác với định tuyến truyền thống, nơi một bộ định tuyến sẽ được xác định bởi địa chỉ vật lý của nó trên mỗi giao diện
Cách thức này áp dụng cho TLOC và Viptela cụ thể là TLOC cũng là một ánh xạ dựa trên vị trí Một TLOC bao gồm một bộ dữ liệu:
• System-IP: Địa chỉ này tương tự như OSPF hoặc BGP Router-ID và không cần
có thể định tuyến hoặc truy cập được
• Transport Color: Màu được sử dụng để phân biệt các phương tiện vận chuyển khác nhau Trong trường hợp các loại vận chuyển được nhân đôi nhưng vẫn nên được xử lý khác nhau, màu sắc có thể tùy ý Một phần thông tin màu này bao gồm các chi tiết cần thiết cho thiết lập đường hầm mặt phẳng dữ liệu
• Encapsulation Type: Điều này rất quan trọng cho việc quảng bá các kết nối mặt
phẳng dữ liệu Chúng ta có các lựa chọn là IPSec hoặc GRE
Trang 26Kết hợp cả ba thông tin sẽ tạo ra một TLOC Nó là các hướng dẫn thiết lập mặt phẳng
dữ liệu được gửi bởi mỗi WAN Edge tới vSmart Sau đó, vSmart phân phối các bản đồ cho các bộ định tuyến WAN Edge khác theo chính sách cấu trúc liên kết, tạo điều kiện cho việc thiết lập đường hầm mặt phẳng dữ liệu
Giải pháp Cisco SD - WAN có thể được triển khai trên một số nền tảng khác nhau thường được gọi là bộ định tuyến WAN Edge có sẵn trong các yếu tố hình thức khác nhau Các
bộ định tuyến WAN Edge có thể được sử dụng trong cả chi nhánh, campus, trung tâm
dữ liệu, đám mây công cộng hoặc đám mây riêng Bất kể việc triển khai nào được chọn,
tất cả các bộ định tuyến WAN Edge sẽ là một phần của kết cấu mạng SD – WAN overlay
và được quản lý thông qua vManage Có hai loại nền tảng bao gồm:
• Nền tảng phần cứng:
Bộ định tuyến Cisco vEdge chạy Viptela OS
ISR 1000 và 4000 series chạy phần mềm IOS® XE SD - WAN
ASR 1000 series chạy phần mềm IOS XE SD - WAN
• Nền tảng ảo:
Bộ định tuyến đám mây vEdge chạy Viptela OS
CSR 1000v chạy phần mềm IOS XE SD - WAN
Trang 27CHƯƠNG II: CÁC VẤN ĐỀ TRIỂN KHAI SD - WAN
Trong giải pháp SD - WAN chúng ta có 2 phương pháp chính để triển khai Controller bao gồm: triển khai trên đám mây (Cisco CloudOps và MSP Cloud) và triển khai On-Prem (trên hạ tầng mạng doanh nghiệp) Trong phần này chúng ta sẽ tìm hiểu về cách triển khai On-Prem cho các controller và tìm hiểu tổng quan về tính khả dụng và dự phòng của các controller
2.1.1 Mô tả triển khai On-Prem Controller
Triển khai On-Prem là hình thức triển khai các phần mềm điều khiển SD - WAN trên cơ
sở hạ tầng có sẵn của doanh nghiệp ở văn phòng chính hay Data Center[10]
Trong một mạng viptela vManage NMS chạy như một máy ảo (VM) trên máy chủ mạng
Mạng SD - WAN overlay có thể được quản lý bởi một vManage NMS hoặc nó có thể được quản lý bởi một cụm vManage bao gồm tối thiểu ba vManage NMS Chúng ta nên xây dựng một mạng đặc biệt là một mạng lớn hơn với cụm vManage VMmanage NMS
quản lý tất cả các thiết bị Cisco vEdge trong mạng overlay, cung cấp bảng điều khiển và chế độ xem chi tiết về hoạt động của thiết bị cũng như kiểm soát cấu hình và chứng chỉ
của thiết bị
Để triển khai các vManage NMS:
• Bước 1: Tạo một vManage VM trên Exsi hoặc KVM hypervisor
• Bước 2: Tạo một cấu hình đầy đủ cho mỗi vManage NMS Chúng ta có thể định
cấu hình vManage NMS bằng cách tạo mẫu cấu hình thiết bị hoặc chúng ta có thể
sử dụng SSH để mở phiên CLI và sau đó định cấu hình thủ công vManage NMS
• Bước 3: Định cấu hình cài đặt chứng chỉ và tạo chứng chỉ cho vManage NMS
Trang 28• Bước 4: Tạo một vManage cluster
• Bước 5: Tạo một vManage NMS đa năng
Trong một mạng viptela bộ điều phối vBond chạy như một VM trên máy chủ mạng và
để triển khai bộ điều phối vBond, nó phải được gán địa chỉ IP public hoặc NAT 1:1 để
tất cả các thiết bị Cisco vEdge trong mạng có thể kết nối với nó Mặc dù bộ điều phối vBond có thể được đặt ở bất cứ đâu trong mạng nhưng chúng tôi khuyên bạn nên đặt nó trong DMZ Việc gán địa chỉ IP public hoặc NAT 1:1 cho bộ điều phối cho phép bộ điều khiển vSmart và bộ định tuyến vEdge được đặt trong không gian địa chỉ riêng được bảo
mật phía sau các cổng NAT khác nhau và có thiết lập kết nối liên lạc với nhau
Mạng SD - WAN overlay có thể có một hoặc nhiều bộ điều phối vBond
Để triển khai bộ điều phối vBond:
• Bước 1: Tạo một cá thể vBond VM trên ESXi hoặc KVM hypervisor
• Bước 2: Tạo một cấu hình tối thiểu cho bộ điều phối vBond cho phép nó có thể truy cập được trên mạng Chúng ta sử dụng SSH để mở phiên CLI cho bộ điều phối vBond và tự cấu hình thiết bị
• Bước 3: Thêm bộ điều phối vBond vào mạng overlay để vManage quản lý
• Bước 4: Nếu chúng ta đang lưu trữ máy chủ Cisco SD - WAN ZTP vBond trong doanh nghiệp của mình, hãy định cấu hình một bộ điều phối vBond để thực hiện vai trò này
• Bước 5: Tạo một cấu hình đầy đủ cho bộ điều phối vBond Chúng ta sử dụng SSH
để mở phiên CLI cho bộ điều phối vBond Sau đó, chúng ta tạo cấu hình đầy đủ
bằng cách tạo các mẫu cấu hình trên vManage NMS và sau đó đính kèm các mẫu vào bộ điều phối vBond Khi chúng ta đính kèm các mẫu cấu hình vào bộ điều phối vBond, các tham số cấu hình trong các mẫu sẽ ghi đè lên cấu hình ban đầu
Trang 292.1.1.3 Tri ển khai bộ điều khiển vSmart
Trong một mạng viptela bộ điều khiển vSmart chạy như một máy ảo (VM) trên máy chủ mạng Nó cũng có thể chạy như một container trong máy chủ vContainer Mạng overlay Cisco SD - WAN có thể có một hoặc nhiều bộ điều khiển vSmart Bộ điều khiển vSmart cung cấp một phương tiện để kiểm soát luồng lưu lượng dữ liệu trên toàn mạng overlay Cisco khuyến nghị rằng nên có ít nhất hai bộ điều khiển vsmart trong mạng overlay để cung cấp dự phòng tốt nhất Một bộ điều khiển vsmart có thể hỗ trợ lên tới 2000 phiên điều khiển và một vManage NMS hỗ trợ tối đa 20 bộ điều khiển vsmart trong mạng overlay
Để triển khai bộ điều khiển vSmart:
• Bước 1: Tạo một vSmart VM trên ESXi hoặc KVM hypersvor
• Bước 2: Tạo một cấu hình tối thiểu cho bộ điều khiển vSmart và cho phép nó có
thể truy cập được trên mạng Chúng ta làm sử dụng SSH để mở phiên CLI cho bộ điều khiển vSmart và tự cấu hình thiết bị
• Bước 3: Thêm bộ điều khiển vSmart vào mạng overlay để vManage NMS quản
lý
• Bước 4: Tạo cấu hình đầy đủ cho bộ điều khiển vSmart Chúng ta sẽ tạo mẫu vManage cho bộ điều khiển vSmart và đính kèm mẫu đó vào bộ điều khiển Khi chúng ta đính kèm mẫu vManage cấu hình tối thiểu ban đầu sẽ bị ghi đè
2.1.2 Tổng quan về tính khả dụng và dự phòng Controller
Trong một mạng Viptela có tính sẵn sàng cao chứa ba hoặc nhiều vManage NMS Kịch
được gọi là một vManage instance Một cụm vManage bao gồm các thành phần kiến trúc sau:
Trang 30• Application server: Cung cấp một máy chủ web cho phiên người dùng Thông qua các phiên này, người dùng đã đăng nhập có thể xem tóm tắt bảng điều khiển
cấp cao về các sự kiện và trạng thái mạng và có thể xem chi tiết để xem chi tiết
về các sự kiện này Người dùng cũng có thể quản lý các tệp số sê-ri mạng, chứng
chỉ, nâng cấp phần mềm, khởi động lại thiết bị và cấu hình của cụm vManage từ máy chủ ứng dụng vManage
• Configuration database: Lưu trữ kho và trạng thái và cấu hình cho tất cả các thiết
Hình dưới đây minh họa các thành phần kiến trúc này Trong hình này chúng ta thấy
rằng mỗi phiên bản vManage nằm trên một máy ảo (VM) VM có thể có từ một đến tám lõi với quy trình phần mềm Viptela (vdaemon) chạy trên mỗi lõi Ngoài ra, VM lưu trữ
cấu hình thực tế cho chính vManage NMS
Trang 31Hình 2.1: Các thành phần kiến trúc trong cụm vManage Cụm vManage thực hiện một kiến trúc đang hoạt động theo cách sau:
• Mỗi phiên vManage trong cụm là một nút xử lý độc lập
• Tất cả các phiên vManage đang hoạt động đồng thời
• Tất cả các phiên của người dùng đến máy chủ ứng dụng đều được cân bằng tải sử
dụng bộ cân bằng tải vManage bên trong hoặc bộ cân bằng tải bên ngoài
• Tất cả các phiên điều khiển giữa các máy chủ ứng dụng vManage và bộ định tuyến vEdge đều được cân bằng tải Một phiên bản vManage duy nhất có thể quản
lý tối đa khoảng 2000 bộ định tuyến vEdge Tuy nhiên, tất cả các phiên của trình điều khiển, các phiên của phiên bản giữa các phiên bản vManage và các bộ điều khiển vSmart và các phiên giữa các phiên bản vManage và các bộ điều phối vBond được bố trí theo cấu trúc liên kết fullmesh
Trang 32• Các cơ sở dữ liệu cấu hình và thống kê có thể được sao chép trên các phiên bản vManage và các cơ sở dữ liệu này có thể được truy cập và sử dụng bởi tất cả các phiên bản vManage
• Nếu một trong các phiên bản vManage trong cụm bị lỗi hoặc không có sẵn, các
dịch vụ quản lý mạng được cung cấp bởi vManage NMS vẫn có sẵn trên toàn
mạng
Bus thông báo giữa các phiên bản vManage trong cụm cho phép tất cả các phiên bản giao tiếp bằng cách sử dụng mạng ngoài băng tần Thiết kế này, sử dụng vNIC thứ ba trên vManage VM tránh sử dụng băng thông WAN cho lưu lượng quản lý
Sau đây là những cân nhắc thiết kế cho cụm vManage:
• Một cụm vManage phải bao gồm tối thiểu ba vManage instances
• Máy chủ ứng dụng và bus thông báo sẽ chạy trên tất cả các phiên bản vManage
• Trong một cụm, tối đa ba phiên bản của cơ sở dữ liệu cấu hình và ba phiên bản của cơ sở dữ liệu thống kê có thể chạy Tuy nhiên, lưu ý rằng bất kỳ phiên bản vManage riêng lẻ nào cũng có thể chạy cả hai, một hoặc không có hai cơ sở dữ
liệu này
• Để cung cấp tính khả dụng cao nhất, chúng ta nên chạy cơ sở dữ liệu cấu hình và thống kê trên ba phiên bản vManage
Trong một mạng viptela bộ điều phối vBond có thể chạy trên bộ định tuyến vEdge được định cấu hình là bộ điều phối vBond tuy nhiên điều này không được khuyến nghị và nó
giới hạn số lượng kết nối điều khiển bộ định tuyến vEdge là 50 Nếu sử dụng chạy trình nền vBond trên bộ định tuyến vEdge, hãy lưu ý rằng chỉ có một daemon vBond có thể
chạy cùng một lúc trên bộ định tuyến vEdge vì vậy để cung cấp dự phòng và tính sẵn sàng cao mạng phải có hai hoặc nhiều bộ định tuyến vEdge hoạt động như bộ điều phối
Trang 33vBond Có nhiều bộ điều phối vBond đảm bảo rằng một trong số chúng sẽ luôn khả dụng
bất cứ khi nào thiết bị Viptela, một bộ định tuyến vEdge hoặc bộ điều khiển vSmart tham gia mạng
Trong một mạng Viptela khả dụng cao khi chứa hai hoặc nhiều bộ điều khiển vSmart Một mạng Viptela hỗ trợ tối đa 20 bộ điều khiển vSmart và mặc định mỗi bộ định tuyến vEdge sẽ kết nối với hai bộ điều khiển vSmart ngẫu nhiên Khi số lượng bộ điều khiển vSmart lớn hơn số lượng bộ điều khiển tối đa mà bộ định tuyến vEdge của mạng Viptela được phép kết nối, phần mềm Viptela sẽ cân bằng các kết nối giữa các bộ điều khiển vSmart có sẵn
Mặc dù các cấu hình trên tất cả các bộ điều khiển vSmart phải giống nhau về chức năng, các chính sách điều khiển phải giống hệt nhau Điều này là bắt buộc để đảm bảo rằng,
bất cứ lúc nào tất cả các bộ định tuyến vEdge đều nhận được các chế độ xem nhất quán của mạng Nếu các chính sách điều khiển không hoàn toàn giống nhau, các bộ điều khiển vSmart khác nhau có thể cung cấp thông tin khác nhau cho bộ định tuyến vEdge và có
thể sẽ là các sự cố kết nối mạng
Để duy trì đồng bộ hóa với nhau, các bộ điều khiển vSmart thiết lập fullmesh đầy đủ các
kết nối điều khiển DTLS, cũng như một mạng fullmesh đầy đủ các phiên OMP giữa chúng Trong các phiên OMP, bộ điều khiển vSmart quảng cáo các tuyến đường, TLOC,
dịch vụ, chính sách và khóa mã hóa Chính sự trao đổi thông tin này cho phép các bộ điều khiển vSmart vẫn được đồng bộ hóa
Chúng ta có thể đặt bộ điều khiển vSmart ở bất cứ đâu trong mạng Chúng ta nên đặt các
bộ điều khiển vSmart được phân tán theo địa lý
Mỗi bộ điều khiển vSmart thiết lập kết nối DTLS vĩnh viễn cho mỗi bộ điều phối vBond Các kết nối này cho phép các bộ điều phối vBond theo dõi bộ điều khiển vSmart nào có
Trang 34mặt và hoạt động Vì vậy, nếu một trong các bộ điều khiển vSmart bị lỗi, bộ điều phối vBond sẽ không cung cấp địa chỉ của bộ điều khiển vSmart không khả dụng cho bộ định tuyến vEdge vừa tham gia mạng
Trong phần này sẽ cung cấp các hướng dẫn thiết kế và triển khai cho các thiết bị Cisco Edge của Cisco SD - WAN trong cơ sở hạ tầng SD - WAN của doanh nghiệp Các hướng
dẫn này tập trung vào quá trình từng bước để cấu hình các tùy chọn onbroarding có sẵn cùng với các trường hợp sử dụng dành riêng cho việc triển khai WAN Edge bằng chứng
chỉ cài đặt mặc định hoặc chứng chỉ root-ca doanh nghiệp Trong hướng dẫn này, bộ điều khiển SD - WAN được triển khai trong đám mây và các bộ định tuyến WAN Edge được triển khai tại các site từ xa hoặc tại các trung tâm dữ liệu và được kết nối bằng Internet và MPLS
Các tùy chọn triển khai WAN Edge on-broarding vật lý hoặc ảo bao gồm thủ công, bootstrap hoặc triển khai tự động, được goi là Zero Touch Provisioning (ZTP) cho các thiết bị vEdge và Plug-and-Play (PnP) cho các thiết bị IOS XE SD – WAN[6]
Hình 2.2: Các tùy chọn triển khai WAN Edge On-Broarding
2.2.1 Quy trình triển khai thủ công
Các thiết bị WAN Edge có thể được cấu hình thủ công bằng cổng console CLI trên nền
tảng phần cứng hoặc sử dụng kết nối bảng điều khiển KVM/ESXi cho các thiết bị ảo
Trang 35Khi chúng ta sử dụng tùy chọn cấu hình này, chỉ cần cấu hình thiết bị đủ mức cần thiết
để thiết bị có thể tiếp cận bộ điều khiển vBond SD - WAN Khi các thiết bị được xác
thực bởi vBond, sau đó các thiết bị WAN Edge sẽ tạo kết nối với bộ điều khiển vManage
và vSmart
Bộ điều khiển vManage sử dụng các mẫu chức năng và mẫu thiết bị để giúp cấu hình đầy đủ cho các thiết bị WAN Edge
2.2.2 Quy trình triển khai Bootstrap
Tùy chọn triển khai bootstrap chỉ hỗ trợ thiết bị Cisco IOS XE SD - WAN Edge Mục đích của tùy chọn này là cung cấp cho các thiết bị WAN Edge các cấu hình mặc định,
cấu hình cần thiết trên onbroard một cách an toàn, khi chúng ta không thể tận dụng tùy
chọn khám phá tự động
Các lựa chọn onboarding có thể được tận dụng trong triển khai bao gồm:
• Thiết bị WAN Edge có kết nối với truyền tải WAN không thể cung cấp địa chỉ IP động, thường là MPLS hoặc truyền tải WAN riêng
• Thiết bị WAN Edge được triển khai trong môi trường air-gapped, trong đó thiết
bị không thể truy cập vào máy chủ kết nối Plug-and-Play (PnP) được lưu trữ trên đám mây
• Thiết bị WAN Edge được kết nối với truyền tải WAN với giao diện không hỗ trợ PnP hoặc với một giao diện yêu cầu cấu hình bổ sung để kết nối ví dụ như PPoE hoặc giao diện con
Việc thúc đẩy triển khai bootstrap yêu cầu cấu hình mẫu thiết bị được xây dựng và gắn vào thiết bị WAN Edge trong vManage, sau đó tệp cấu hình được xây dựng và chia sẻ với thiết bị WAN Edge Có thể chia sẻ tệp cấu hình với thiết bị WAN Edge bằng cách sao chép cấu hình vào bootflash bên trong của thiết bị hoặc bằng cách sao chép tệp vào USB có thể khởi động, được kết nối và khả dụng trên thiết bị WAN Edge khi khởi động
Trang 36Lưu ý, tệp cấu hình phải có tên tệp cụ thể để thiết bị tải trong quá trình khởi động thiết
bị
Hình 2.3: Tiến trình Bootstrap Sau đây là tổng quan về tất cả các bước liên quan trong quá trình bootstrap onbroarding
được giải thích bên dưới:
• Thiết bị WAN Edge khi khởi động quy trình Plug-and-Play (PnP) Quá trình PnP
trước tiên tìm kiếm bootflash thiết bị cho tệp cấu hình, đây là tên tệp cụ thể dựa
trên nền tảng Nếu tệp cấu hình không khả dụng, quy trình PnP tiếp tục tìm kiếm
USB có thể khởi động được kết nối với thiết bị (nếu có) Nếu có tệp, thiết bị sẽ
tải toàn bộ cấu hình và hủy bỏ quy trình Plug-and-Play
• Thiết bị WAN Edge tìm hiểu tên vBond và tên tổ chức từ mẫu hệ thống được
nhúng trong cấu hình và khởi tạo kết nối điều khiển an toàn cho bộ điều phối
vBond Sau khi xác thực thành công bởi bộ điều khiển vBond, thiết bị WAN Edge
sẽ nhận được thông tin liên quan đến bộ điều khiển vManage và vSmart
Trang 37• Thiết bị WAN Edge thiết lập các kết nối an toàn với vManage và vSmart và tải xuống toàn bộ cấu hình bằng NETCONF từ vManage và tham gia mạng SD - WAN overlay
2.2.3 Quy trình triển khai ZTP
Giải pháp ZTP cung cấp một quy trình tự động, đơn giản, an toàn để khám phá, cập nhật, cài đặt và cung cấp cơ chế để các thiết bị Edge tham gia vào mạng SD - WAN fabric Các máy chủ ZTP sẽ duy trì danh sách thiết bị WAN Edge hợp lệ và thông tin vBond
mà thiết bị đăng kí để tham gia hạ tầng mạng SD - WAN fabric Máy chủ ZTP dựa trên đám mây của Cisco có thể được sử dụng và có thể được triển khai trong trung tâm dữ liệu với yêu cầu nền tảng vEdge phải phân giải ztp.viptela.com để truy cập máy chủ ZTP khi kết nối với mạng WAN
Hình 2.4: Tiến trình ZTP Sau đây là tổng quan các bước liên quan trong quá trình ZTP:
Trang 38• Đầu tiên, khi các thiết bị WAN Edge khởi động nó sẽ nhận được thông tin IP, default getway IP và DNS thông qua DHCP trên interface kết nối đến ZTP server
• Tiếp theo, các thiết bị Edge cố gắng truy cập đến máy chủ ZTP Bộ định tuyến sẽ phân giải tên miền máy chủ ZTP tại ztp.viptela.com và sử dụng các kết nối HTTPS để tìm thông tin của bộ điều phối vBond SD - WAN có tên trùng với tên
của tổ chức
• Tiếp theo, các bộ định tuyến Edge sẽ thực hiện xác thực tới bộ điều phối vBond
bằng cách sử dụng số chassis, serial và chứng chỉ gốc Sau khi xác thực thành công bộ điều phối vBond sẽ cung cấp cho các bộ định tuyến Edge thông tin của
bộ điều phối vManage và vSmart
• Và cuối cùng, các thiết bị Edge sẽ thiết lập kết nối an toàn với vManage và vSmart, nó sẽ thực hiện tải xuống cấu hình từ bộ điều phối vManage bằng cách
sử dụng giao thức NETCONF và sẽ tham gia vào mạng SD - WAN fabric
2.2.4 Quy trình triển khai Plug-and-play
Giải pháp Plug-and-Play cung cấp một quy trình tự động, đơn giản, an toàn để khám phá, cập nhật, cài đặt và cung cấp cơ chế để các thiết bị Cisco IOS XE SD - WAN Edge tham gia vào mạng SD - WAN fabric
Trang 39Hình 2.5: Tiến trình PnP Sau đây là tổng quan các bước liên quan trong quá trình Plug-and-Play:
• Đầu tiên, khi các thiết bị WAN Edge khởi động nó sẽ nhận được thông tin IP, default getway IP và DNS thông qua DHCP trên interface PnP của thiết bị hỗ trợ được kết nối tới mạng WAN
• Tiếp theo, khi các Cisco WAN Edge cố gắng truy cập máy chủ kết nối Play (PnP) do Cisco lưu trữ Bộ định tuyến cố gắng giải quyết tên của máy chủ PnP tại devicercper.cisco.com và sử dụng kết nối HTTPS để thu thập thông tin về
Plug-and-bộ điều phối vBond của doanh nghiệp, bao gồm cả tên tổ chức
• Thiết bị WAN Edge xác thực với bộ điều phối vBond bằng khung / số sê-ri và
chứng chỉ gốc Sau khi xác thực thành công, bộ điều phối vBond cung cấp cho thiết bị thông tin bộ điều khiển vManage và vSmart
• Thiết bị WAN Edge khởi tạo và thiết lập các kết nối an toàn với bộ điều khiển vManage và vSmart và tải xuống cấu hình bằng NETCONF từ vManage và tham gia mạng SD - WAN overlay
Trang 40Để thực hiện các yêu cầu kiểm soát lưu lượng dành riêng cho doanh nghiệp, chúng ta
cần tạo các chính sách cơ bản và triển khai các tính năng nâng cao của phần mềm Viptela được kích hoạt bằng cơ sở hạ tầng cấu hình chính sách
Giống như kiến trúc mạng overlay, các Viptela tách biệt rõ ràng mặt phẳng điều khiển
với mặt phẳng dữ liệu và phân tách rõ ràng điều khiển giữa các chức năng tập trung và cục bộ, chính sách phần mềm Viptela được phân tách rõ ràng: các chính sách áp dụng cho điều khiển lưu lượng mặt phẳng hoặc mặt phẳng dữ liệu và chúng được định cấu hình tập trung (trên bộ điều khiển vSmart) hoặc cục bộ (trên bộ định tuyến vEdge) Sau đây là hình minh họa sự phân chia giữa chính sách kiểm soát và dữ liệu và giữa chính sách tập trung và chính sách địa phương[13]
