Tweet
Cisco SD-WAN Service VPN – Hiểu đúng bản chất để triển khai đúng
Sau khi đã triển khai xong SD-WAN controllers, onboard các vEdge routers, và làm quen với template, thì bước quan trọng tiếp theo là:
👉 Cho phép traffic giữa các site
Trong Cisco SD-WAN, việc này được thực hiện thông qua Service VPN
1. Service VPN là gì trong SD-WAN?
Nếu nhìn theo góc độ CCIE:
👉 Nói đơn giản:
Trong lab này:
2. Cấu hình Service VPN bằng CLI (cách nhanh nhất để hiểu bản chất)
Trên vEdge2
vpn 10
interface ge0/3
ip address 10.2.0.254/24
no shutdown
commit Trên vEdge3
vpn 10
interface ge0/3
ip address 10.3.0.254/24
no shutdown
commit
👉 Điểm quan trọng:
3. Điểm mấu chốt: OMP Advertisement
Trong cấu hình cuối cùng, bạn sẽ thấy:
omp
advertise connected
👉 Ý nghĩa:
Nếu không có bước này:
❌ Site khác sẽ không biết mạng LAN của bạn
❌ Overlay không có route → không ping được
4. Control Plane hoạt động như thế nào?
Theo output trong tài liệu:
10 10.2.0.0/24 connected - ge0/3
10 10.3.0.0/24 omp ...
👉 Ý nghĩa:
Trên vSmart:
show omp peers
Cho thấy:
5. Data Plane: IPSec Tunnel
SD-WAN không chỉ route → nó encrypt luôn traffic
Kiểm tra:
show ipsec outbound-connections
👉 Kết quả:
6. End-to-End Traffic Flow
Flow thực tế:
👉 Kết quả test:
SW2# ping 10.3.0.103
!!!!!
Success rate is 100%
7. Cấu hình bằng Template (Production mindset)
Trong môi trường thật, không ai cấu hình CLI từng node.
Thay vào đó: Feature Template
👉 Design tip rất quan trọng:
8. Insight quan trọng cho CCIE
1. Service VPN = VRF trong SD-WAN
2. OMP thay thế BGP/MPLS control plane
3. Overlay = IPSec by default
4. Scaling cực lớn
9. Tổng kết
Service VPN là thành phần cốt lõi nhất để hiểu SD-WAN:
👉 Nếu bạn hiểu Service VPN, bạn đã hiểu ~60% kiến trúc SD-WAN.
Sau khi đã triển khai xong SD-WAN controllers, onboard các vEdge routers, và làm quen với template, thì bước quan trọng tiếp theo là:
👉 Cho phép traffic giữa các site
Trong Cisco SD-WAN, việc này được thực hiện thông qua Service VPN
1. Service VPN là gì trong SD-WAN?
Nếu nhìn theo góc độ CCIE:
- VPN 0 → Transport (underlay – Internet/MPLS)
- VPN 512 → Management
- Service VPN (ví dụ: VPN 10, 20...) → Data plane của người dùng
👉 Nói đơn giản:
Service VPN chính là nơi chứa LAN / Application traffic của doanh nghiệp.
Trong lab này:
- Site 2: 10.2.0.0/24
- Site 3: 10.3.0.0/24
- Mỗi site có switch phía sau vEdge
- Mục tiêu: ping được giữa 2 site qua SD-WAN overlay
2. Cấu hình Service VPN bằng CLI (cách nhanh nhất để hiểu bản chất)
Trên vEdge2
vpn 10
interface ge0/3
ip address 10.2.0.254/24
no shutdown
commit Trên vEdge3
vpn 10
interface ge0/3
ip address 10.3.0.254/24
no shutdown
commit
👉 Điểm quan trọng:
- Interface LAN (ge0/3) được bind vào VPN 10
- Đây chính là cách "gắn mạng LAN vào overlay SD-WAN"
3. Điểm mấu chốt: OMP Advertisement
Trong cấu hình cuối cùng, bạn sẽ thấy:
omp
advertise connected
👉 Ý nghĩa:
- Quảng bá các mạng connected (LAN) lên control plane OMP
- Cho phép các site khác học route này
Nếu không có bước này:
❌ Site khác sẽ không biết mạng LAN của bạn
❌ Overlay không có route → không ping được
4. Control Plane hoạt động như thế nào?
Theo output trong tài liệu:
10 10.2.0.0/24 connected - ge0/3
10 10.3.0.0/24 omp ...
👉 Ý nghĩa:
- 10.2.0.0/24 → local site
- 10.3.0.0/24 → học qua OMP từ site khác
Trên vSmart:
show omp peers
Cho thấy:
- Các vEdge đã establish control connection
- Có route exchange qua OMP
5. Data Plane: IPSec Tunnel
SD-WAN không chỉ route → nó encrypt luôn traffic
Kiểm tra:
show ipsec outbound-connections
👉 Kết quả:
- Có IPSec tunnel giữa vEdge2 ↔ vEdge3
- Encryption: AES-GCM-256
- Authentication: HMAC
6. End-to-End Traffic Flow
Flow thực tế:
- PC/SW tại Site 2 gửi traffic → 10.3.0.0/24
- vEdge2:
- Lookup route → học từ OMP
- Encapsulate vào IPSec tunnel
- Traffic đi qua transport (VPN 0)
- vEdge3:
- Decrypt
- Forward xuống LAN
👉 Kết quả test:
SW2# ping 10.3.0.103
!!!!!
Success rate is 100%
7. Cấu hình bằng Template (Production mindset)
Trong môi trường thật, không ai cấu hình CLI từng node.
Thay vào đó: Feature Template
- VPN template:
- VPN ID = 10
- Enable Advertise OMP → Connected IPv4
- Interface template:
- ge0/3
- IP dùng biến (variable)
- Attach VPN + Interface template
- Push xuống nhiều vEdge cùng lúc
👉 Design tip rất quan trọng:
Không nên gắn Service VPN vào template chung nếu không phải tất cả site đều dùng
8. Insight quan trọng cho CCIE
1. Service VPN = VRF trong SD-WAN
- Mỗi VPN là một routing table độc lập
- Có thể micro-segmentation ngay trong WAN
2. OMP thay thế BGP/MPLS control plane
- Không cần MP-BGP phức tạp
- vSmart đóng vai trò route reflector
3. Overlay = IPSec by default
- Không cần cấu hình crypto thủ công
- Zero-touch encryption
4. Scaling cực lớn
- Mỗi site chỉ cần:
- Connect vSmart
- Advertise LAN
- Phần còn lại hệ thống tự xử lý
9. Tổng kết
Service VPN là thành phần cốt lõi nhất để hiểu SD-WAN:
- Nó là nơi chứa application traffic
- Nó quyết định segmentation
- Nó là nơi kết nối LAN ↔ Overlay
👉 Nếu bạn hiểu Service VPN, bạn đã hiểu ~60% kiến trúc SD-WAN.
Attached Files