Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    SDWAN Onboarding

    🚀 Cisco SD-WAN – Quy trình Onboarding vEdge (Từ A đến Z)


    Trong các bài trước, chúng ta đã dựng xong control plane của SD-WAN gồm:
    • vManage (management plane)
    • vSmart (control plane)
    • vBond (orchestrator)

    👉 Bước tiếp theo mang tính “sống còn” trong triển khai thực tế:
    Onboard WAN Edge (vEdge router) vào fabric SD-WAN
    1. Tổng quan topology & tư duy triển khai


    Theo sơ đồ:
    • Site 1: chứa controllers (vManage, vBond, vSmart)
    • Site 2: chứa 2 vEdge routers
    • vEdge kết nối ra 2 ISP:
      • biz-internet
      • public-internet

    👉 Điểm rất quan trọng về mặt design:
    • Mỗi WAN link sẽ được map thành một TLOC (Transport Locator)
    • TLOC được phân biệt bằng color
    • SD-WAN sẽ build overlay tunnel qua tất cả các TLOC có thể
    2. Giai đoạn 1 – Basic Configuration (Foundation)


    Trước khi join fabric, vEdge phải có cấu hình nền tảng: 2.1 System Configuration

    system
    host-name vEdge1
    system-ip 172.16.1.1
    site-id 2
    organization-name nwl-lab-sdwan
    vbond 10.1.0.2 Phân tích CCIE-level:
    • system-ip
      định danh duy nhất của node trong control plane (không phải IP interface)
    • site-id
      → xác định vị trí logic của site (quan trọng cho policy)
    • organization-name
      → phải match giữa tất cả thiết bị (certificate validation)
    • vbond
      → entry point để thiết bị discover control plane
    2.2 VPN 0 – Transport Network (Underlay + Overlay Entry)


    VPN 0 là nơi cực kỳ quan trọng:

    👉 Nó đóng vai trò:
    • Underlay routing
    • Overlay tunnel source
    Interface ge0/0 – Biz Internet

    interface ge0/0
    ip address 10.65.91.1/24
    tunnel-interface
    encapsulation ipsec
    color biz-internet
    allow-service all
    no shutdown Interface ge0/1 – Public Internet

    interface ge0/1
    ip address 10.65.92.1/24
    tunnel-interface
    encapsulation ipsec
    color public-internet
    allow-service all
    no shutdown
    🔥 Insight quan trọng (rất hay bị hiểu sai)

    “color” KHÔNG phải QoS


    Tài liệu nhấn mạnh rõ:
    👉 Color chỉ là label logic để phân biệt WAN transport

    Nó được dùng để:
    • Tạo TLOC
    • Policy routing (App-Aware Routing)
    • Path selection
    2.3 Static Route để reach Controllers

    ip route 10.1.0.0/24 10.65.91.100

    👉 Đây là điểm mấu chốt:
    • vEdge cần reach được vBond trước
    • Không reach được → onboarding fail ngay từ đầu
    3. Giai đoạn 2 – Certificate (Security Foundation)


    SD-WAN sử dụng Zero Trust kiểu PKI-based 3.1 Install Root CA

    request root-cert-chain install ROOT-CA.pem

    👉 Root CA = Trust Anchor
    → Nếu không có → không thể trust controllers
    3.2 Generate CSR (Certificate Signing Request)

    request csr upload home/admin/vedge1_csr

    👉 CSR chứa:
    • Public key
    • Organization info
    3.3 Sign Certificate trên vManage

    openssl x509 -req -in vedge1_csr \
    -CA ROOT-CA.pem -CAkey ROOT-CA.key \
    -out vedge1.crt
    3.4 Install Certificate vào vEdge

    request certificate install vedge1.crt

    👉 Sau bước này:
    • vEdge có identity hợp lệ
    • Có thể authenticate với control plane
    4. Giai đoạn 3 – Add vEdge vào vManage

    4.1 Với version < 20.x


    Lấy thông tin:
    show certificate serial

    Sau đó add:
    request vedge add chassis-num XXX serial-num YYY

    👉 Apply trên:
    • vManage
    • vBond
    4.2 Với version ≥ 20.x (thực tế production)


    Không còn dùng command thủ công nữa ❗

    👉 Phải dùng:
    • Cisco Smart Account
    • File serialFile.viptela

    Upload vào vManage:
    Configuration → Devices → WAN Edge List
    Insight thực tế:


    👉 Đây là bước chuyển từ:
    • Lab mode → Production mode

    👉 Cisco enforce:
    • License-based onboarding
    • Device identity tracking
    5. Giai đoạn 4 – Activation (Zero Touch Provisioning)


    Trên vEdge:
    request vedge-cloud activate chassis-num XXX token YYY

    👉 Token lấy từ vManage
    6. Verification – Kiểm tra kết nối Control Plane

    show control connections

    Output (trang 13):
    • vSmart → up
    • vBond → up
    • vManage → up
    • Một số link có thể ở trạng thái connect

    👉 Điều này là bình thường:
    • SD-WAN thử kết nối qua tất cả WAN links
    • Nhưng chỉ một số path active ban đầu
    7. Tổng kết kiến trúc (Quan trọng cho CCIE)


    Quy trình onboarding gồm 4 lớp: 1. Underlay
    • IP connectivity tới vBond
    2. System Identity
    • system-ip
    • site-id
    • organization-name
    3. Security (PKI)
    • Root CA
    • Certificate
    4. Control Plane Join
    • vBond → vSmart → vManage
    🎯 Góc nhìn thực chiến


    Nếu onboarding fail → 90% nằm ở:
    • Không reach được vBond (routing/NAT/firewall)
    • Sai organization-name
    • Certificate lỗi
    • Chưa add serial vào vManage
    🔥 Kết luận cho bài SDWAN Onboarding:


    Onboarding vEdge không chỉ là config CLI đơn thuần, mà là:

    👉 Một quy trình kết hợp giữa networking + security + orchestration

    Hiểu sâu phần này sẽ giúp bạn:
    • Troubleshoot SD-WAN nhanh hơn rất nhiều
    • Làm chủ ZTP và automation
    • Tiến gần hơn tới mindset CCIE Enterprise / SD-WAN Architect
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X