Tweet
🌐 Giải Thích Quy Trình Onboarding Thiết Bị SD-WAN Tự Động (ZTP/PNP)
Khi một thiết bị SD-WAN (ví dụ: Cisco vEdge hoặc C8000v) được bật nguồn lần đầu tiên, quá trình diễn ra như sau:
🚀 1. Thiết Bị Nhận IP Qua DHCP
🌐 2. Kết Nối Đến PnP/ZTP Server (Cisco Hosted)
🔐 3. Xác Thực & Kết Nối vBond
⚙️ 4. Nhận Cấu Hình & Gia Nhập SD-WAN Fabric
🔒 Lưu Ý Bảo Mật
💡 Tóm Tắt Key Point
Nếu bạn đang triển khai thực tế, cần lưu ý:
Khi một thiết bị SD-WAN (ví dụ: Cisco vEdge hoặc C8000v) được bật nguồn lần đầu tiên, quá trình diễn ra như sau:
🚀 1. Thiết Bị Nhận IP Qua DHCP
- Mục tiêu: Lấy địa chỉ IP và thông tin DNS từ ISP.
- Thiết bị sẽ gửi yêu cầu DHCP để nhận IP động.
- Nếu chính sách yêu cầu, có thể cấu hình Static IP thay thế DHCP.
🌐 2. Kết Nối Đến PnP/ZTP Server (Cisco Hosted)
- Sau khi có IP, thiết bị sử dụng thông tin DNS để truy vấn và kết nối tới server Plug and Play (PnP) hoặc ZTP của Cisco.
- Server này đóng vai trò hướng dẫn thiết bị biết về tổ chức nào nó thuộc về và thông tin của vBond Orchestrator.
🔐 3. Xác Thực & Kết Nối vBond
- Thiết bị bắt đầu quá trình bảo mật, xác thực danh tính với vBond.
- Sau khi xác thực thành công, vBond sẽ cung cấp thông tin về các controller khác như:
- vManage (quản lý tập trung)
- vSmart (điều khiển chính sách và định tuyến)
⚙️ 4. Nhận Cấu Hình & Gia Nhập SD-WAN Fabric
- Thiết bị thiết lập kết nối bảo mật với vManage và vSmart.
- Tự động nhận cấu hình chính thức từ vManage.
- Thiết bị hoàn tất quá trình onboarding, chính thức trở thành một node trong SD-WAN Fabric.
🔒 Lưu Ý Bảo Mật
- Toàn bộ quá trình đảm bảo kết nối bảo mật (TLS/DTLS) giữa thiết bị và các controller.
- Certificate (chứng chỉ) đóng vai trò quan trọng trong việc xác thực.
💡 Tóm Tắt Key Point
- DHCP hoặc Static IP: Để thiết bị có kết nối mạng ban đầu.
- PnP/ZTP server: Trung gian giúp thiết bị "tìm đường" về hệ thống quản lý.
- vBond: Cửa ngõ đầu tiên để xác thực.
- vManage/vSmart: Nhận cấu hình và chính sách.
- Kết nối bảo mật: Đảm bảo an toàn suốt quá trình.
Nếu bạn đang triển khai thực tế, cần lưu ý:
- Đảm bảo firewall cho phép các cổng cần thiết (UDP 12346, 12347, TCP 443,...).
- Thiết bị phải có license hợp lệ và được đăng ký trước trên Cisco vManage.