TRƯỜNG ĐẠI HỌC GIAO THƠNG VẬN TẢI TP HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Đề tài: Nghiên cứu giải pháp CISCO SD - WAN triển khai CISCO SD - WAN doanh nghiệp nhỏ sử dụng phần mềm giả lập EVE Chun ngành: TRUYỀN THƠNG VÀ MẠNG MÁY TÍNH Giảng viên hướng dẫn : Phan Thị Hồng Nhung Sinh viên thực hiện: Trần Hồng Thơng Nguyễn Thị Mỹ Un MSSV: 1651150036 MSSV: 1651150042 TP Hồ Chí Minh, tháng năm 2020 LỜI CAM ĐOAN Chúng em xin cam đoan nội dung báo cáo thực tập tốt nghiệp nhóm chúng em thực hiểu biết tìm hiểu nhóm Mọi tham khảo dùng báo cáo thực tập tốt nghiệp có nguồn gốc rõ ràng trích dẫn theo quy định Sinh viên thực hiện, Trần Hồng Thơng – Nguyễn Thị Mỹ Uyên NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………… Tp Hồ Chí Minh, ngày … tháng … năm 2020 Giảng viên hướng dẫn Ths Phan Thị Hồng Nhung NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………… Tp Hồ Chí Minh, ngày … tháng … năm 2020 Giảng viên phản biện MỤC LỤC LỜI MỞ ĐẦU 1 Tính cấp thiết đề tài Tình hình nghiên cứu Mục đích nghiên cứu Nhiệm vụ nghiên cứu Phương pháp nghiên cứu Các kết đạt đề tài Kết cấu báo cáo thực tập tốt nghiệp CHƯƠNG I: CÔNG NGHỆ SD - WAN 1.1 Định nghĩa SD - WAN 1.2 Tại nên triển khai SD - WAN? 1.3 Khái niệm mạng Fabric 1.4 Lợi ích SD - WAN 1.4.1 Giảm chi phí mạng WAN 1.4.2 Tăng hiệu suất mạng WAN 1.4.3 Cải thiện tính linh hoạt mạng WAN 1.4.4 Quản lý mạng WAN đơn giản hóa 1.4.5 Tăng tính khả dụng mạng WAN 1.4.6 Cải thiện bảo mật Edge-to-Edge 1.4.7 Tăng độ tin cậy phản hồi 1.4.8 Truyền liệu chất lượng cao 1.5 Các kiến trúc thành phần SD - WAN 1.5.1 Orchestration Plane (vBond) 10 1.5.2 Management Plane (vManage) 10 1.5.3 Control Plane (vSmart, OMP) 11 1.5.4 Data Plane (vEdge) 11 1.6 Mô tả loại tảng WAN Edge 13 CHƯƠNG II: CÁC VẤN ĐỀ TRIỂN KHAI SD - WAN 14 2.1 Mô tả triển khai Controllers 14 2.1.1 Mô tả triển khai On-Prem Controller 14 i 2.1.2 Tổng quan tính khả dụng dự phịng Controller 16 2.2 Mô tả triển khai định tuyến 21 2.2.1 Quy trình triển khai thủ công 21 2.2.2 Quy trình triển khai Bootstrap 22 2.2.3 Quy trình triển khai ZTP 24 2.2.4 Quy trình triển khai Plug-and-play: 25 2.3 Chính sách CISCO SD - WAN 27 2.3.1 Tổng quan sách 27 2.3.2 Centralized and Localized Policy 29 2.3.3 Control and Data Policy 31 2.4 Mô tả vấn đề Security QOS 35 2.4.1 Mô tả tường lửa nhận biết ứng dụng 35 2.4.2 Tổng quan chuyển tiếp QOS 37 2.5 Mô tả triển khai quản lý giám sát vManage 43 2.5.1 Geography 43 2.5.2 Network 48 2.5.3 Alarms 52 2.5.4 Event 57 2.5.5 Audit_Log 59 2.5.6 ACL_Log 63 2.5.7 Mô tả nâng cấp phần mềm từ vManage 64 CHƯƠNG III: MÔ PHỎNG TRIỂN KHAI GIẢI PHÁP CISCO SD - WAN 68 3.1 Giới thiệu môi trường giả lập 68 3.2 Phân tích mơ triển khai giải pháp CISCO SD - WAN 68 3.2.1 Quy trình thực CISCO SD - WAN Overlay 68 3.2.2 Phân tích yêu cầu 69 3.2.3 Thiết kế mơ hình 70 3.2.4 Các giao thức sử dụng mô 70 3.3 Quy hoạch địa IP, System IP Site ID cho thiết bị 71 3.4 Các bước setup thiết bị 74 3.5 Kết mô 83 KẾT LUẬN 89 ii Kết đạt 89 Phương hướng phát triển 89 TÀI LIỆU THAM KHẢO 90 iii DANH MỤC BẢNG Bảng 3.1: Bảng quy hoạch địa IP chi nhánh 71 Bảng 3.2: Bảng quy hoạch địa IP chi nhánh 71 Bảng 3.3: Bảng quy hoạch địa IP chi nhánh 72 Bảng 3.4: Bảng quy hoạch địa IP chi nhánh 72 Bảng 3.5: Bảng quy hoạch địa IP DATA CENTER 72 Bảng 3.6: Bảng quy hoạch System IP Site ID 73 Bảng 3.7: Color and transport details 73 iv DANH MỤC HÌNH Hình 1.1: Các kiến trúc thành phần SD - WAN 10 Hình 2.1: Các thành phần kiến trúc cụm vManage 18 Hình 2.2: Các tùy chọn triển khai WAN Edge On-Broading 21 Hình 2.3: Tiến trình Bootstrap 23 Hình 2.4: Tiến trình ZTP 24 Hình 2.5: Tiến trình PnP 26 Hình 2.6: Sự phân chia sách 28 Hình 2.7: Các kết nối vSmart vEdge 32 Hình 2.8: Các kết nối vSmart vEdge 34 Hình 2.9: Mơ tả chi tiết trình truyền liệu site 40 Hình 2.10: Chính sách QOS cho gói liệu truyền site 41 Hình 2.11: Giao diện giám sát Geography 45 Hình 2.12: Giao diện giám sát Network 50 Hình 2.13: Giao diện giám sát Network chi tiết thiết bị 52 Hình 2.14: Giao diện giám sát Alarms 54 Hình 2.15: Giao diện giám sát Event 58 Hình 2.16: Giao diện giám sát Audit_Log 61 Hình 2.17: Giao diện giám sát ACL_Log 64 Hình 3.1: Quy trình triển khai CISCO SD - WAN Overlay 68 Hình 3.2: Mơ hình tổng quan triển khai giải pháp SD - WAN 70 Hình 3.3: Mơ hình triển khai giải pháp SD - WAN 71 Hình 3.4: Cấu hình thơng số 74 Hình 3.5: Quá trình tạo file rootCA.key rootCA.pem 75 Hình 3.6: Quá trình cài đặt chứng vManage 75 Hình 3.7: Giao diện tạo chứng CSR 75 Hình 3.8: Quá trình tạo file vmanage.csr vmanage.crt 76 Hình 3.9: Cấu hình vBond 76 Hình 3.10: Minh họa trình lấy file rootCA.key rootCA.pem từ vManage vBond 77 Hình 3.11: Quá trình cài đặt chứng vBond 77 Hình 3.12: Giao diện thêm Controllers 77 Hình 3.13: Quá trình tạo file vbond.csr vbond.crt 78 v Hình 3.14: Minh họa trình lấy file rootCA.key rootCA.pem từ vManage CN1 79 Hình 3.15: Quá trình cài đặt chứng CN1 79 Hình 3.16: Quá trình cài đặt chứng csr CN1 79 Hình 3.17: Quá trình cài đặt chứng crt CN1 80 Hình 3.18: Kiểm tra số chassis serial 80 Hình 3.19: Kích hoạt chứng CN1 80 Hình 3.20: Giao diện upload WAN Edge List 81 Hình 3.21: Phiên phần mềm vManage 83 Hình 3.22: Phiên phần mềm vSmart, vBond 83 Hình 3.23: Danh sách thiết bị SD - WAN Edge 83 Hình 3.24: Giao diện vManage 84 Hình 3.25: Danh sách Controllers 84 Hình 3.26: Danh sách Cisco SD - WAN Edge 85 Hình 3.27: Giao diện thành phần controllers giám sát mạng Geography 85 Hình 3.28: Danh sách thành phần SD - WAN giám sát Network 86 Hình 3.29: Kiểm tra giao thức OMP vSmart1 86 Hình 3.30: Kiểm tra hoạt động giao thức BFD DC 86 Hình 3.31: Kiểm tra routing Cisco SD - WAN WAN Edge DC 87 Hình 3.32: Ping PCCN1 > Chi nhánh 2, Chi nhánh 88 Hình 3.33: Ping PCCN1 > Chi nhánh 4, Chi nhánh DATA CENTER 88 vi no mop sysid exit negotiation auto interface GigabitEthernet3 exit description Connect to LAN interface GigabitEthernet2 no shutdown no shutdown ip no ip address 255.255.255.248 ip mtu 1500 ip mtu 1500 no mop enabled ip ospf area no mop sysid ip ospf network point-to-point mtu 1500 no mop enabled negotiation auto no mop sysid exit negotiation auto interface GigabitEthernet2.101 vrrp address-family ipv4 description connect-Internet vrrpv2 no shutdown address 10.10.103.4 encapsulation dot1Q 101 preempt ip address 10.1.103.1 address 10.10.103.1 priority 101 255.255.255.252 exit ip mtu 1496 exit ip nat outside interface GigabitEthernet4 exit shutdown interface GigabitEthernet2.102 no ip address no shutdown no mop enabled encapsulation dot1Q 102 no mop sysid ip address 10.2.103.1 negotiation auto 255.255.255.252 exit ip mtu 1496 interface GigabitEthernet5 no shutdown bgp router-id ip address dhcp bgp log-neighbor-changes exit neighbor 192.168.103.1 remote-as interface Tunnel1 65535 no shutdown neighbor 192.168.103.1 activate ip unnumbered GigabitEthernet1 neighbor 192.168.103.1 description tunnel source GigabitEthernet1 connect-BGP-ISP tunnel mode SD - WAN neighbor exit multihop interface Tunnel102 neighbor 192.168.103.1 password no shutdown 0707204F450C0B4B45475B5B ip unnumbered GigabitEthernet2.101 neighbor tunnel source GigabitEthernet2.101 community both tunnel mode SD - WAN address-family ipv4 unicast exit network route-map CN3 permit 10 3.3.3.3 192.168.103.1 192.168.103.1 10.2.103.0 255.255.255.252 ! redistribute ospf logging buffered 262144 exit-address-family no logging rate-limit ! aaa authentication login default local ! aaa authorization exec default local router ospf login on-success log router-id 31.31.31.31 multilink bundle-name authenticated default-information originate spanning-tree extend system-id redistribute static spanning-tree mode rapid-pvst ! no crypto ikev2 diagnose error no router rip router bgp 103 line ebgp- send- mask login authentication default no allow-service snmp stopbits exit ! exit line vty interface GigabitEthernet2.101 login authentication default tunnel-interface transport input ssh encapsulation ipsec ! color biz-internet line vty 80 allow-service all login authentication default no allow-service bgp transport input ssh allow-service dhcp ! allow-service dns diagnostic bootup level minimal allow-service icmp SD - WAN no allow-service sshd interface GigabitEthernet1 no allow-service netconf tunnel-interface no allow-service ntp encapsulation ipsec no allow-service ospf color mpls restrict no allow-service stun allow-service all no allow-service snmp allow-service bgp exit allow-service dhcp exit allow-service dns interface GigabitEthernet2.102 allow-service icmp tloc-extension GigabitEthernet1 no allow-service sshd exit no allow-service netconf omp no allow-service ntp no shutdown no allow-service ospf send-path-limit 16 no allow-service stun ecmp-limit 16 graceful-restart bfd color mpls address-family ipv4 hello-interval 100 advertise connected no pmtu-discovery advertise static multiplier ! ! address-family ipv6 bfd color biz-internet advertise connected hello-interval 100 advertise static no pmtu-discovery ! multiplier ! ! ! security licensing config enable false ipsec licensing config privacy hostname authentication-type 20 20 ah-sha1-hmac false sha1-hmac licensing config privacy version false ! licensing config utility utility-enable ! false nacm cmd-read-default deny netconf-yang cisco-ia blocking cli- nacm cmd-exec-default deny blocking-enabled CN3-2: Hostname CN3-2 site-id gps-location latitude 18.0 admin-tech-on-failure gps-location longitude 10.0 organization-name device-groups vbond 100.10.10.254 system-ip SITE3 32.32.32.32 ! 32 "Viptela Inc" memory free low-watermark ip access-list extended meraki-fqdn- processor 80544 dns call-home ! contact-email-addr sch-smart- no ip http server licensing@cisco.com ip http secure-server profile CiscoTAC-1 ip active GigabitEthernet1 ! no ip igmp ssm-map query dns ! ip nat inside source list NAT interface no service pad GigabitEthernet1 overload service password-encryption ip nat translation tcp-timeout 3600 service timestamps debug datetime ip nat translation udp-timeout 60 msec no ip rsvp signalling rate-limit service timestamps log datetime msec ipv6 unicast-routing service call-home no ipv6 mld ssm-map query dns no service tcp-small-servers interface GigabitEthernet1 no service udp-small-servers no shutdown platform console serial ip address 100.10.10.8 255.255.255.0 hostname CN3-2 ip nat outside username admin privilege 15 secret no mop enabled $1$VhfT$k/Eyni0ZlbLBdhkTIzUy./ no mop sysid ! negotiation auto no ip dhcp use class exit ip route 0.0.0.0 0.0.0.0 100.10.10.2 interface GigabitEthernet2 ip route 10.0.0.0 255.0.0.0 10.2.103.1 no shutdown ip no ip address tftp GigabitEthernet1 source-interface http ip mtu 1500 client source-interface no mop enabled no mop enabled no mop sysid no mop sysid mtu 1500 negotiation auto negotiation auto vrrp address-family ipv4 exit vrrpv2 interface GigabitEthernet2.101 address 10.10.103.4 no shutdown exit encapsulation dot1Q 101 exit ip address 10.1.103.2 interface GigabitEthernet4 255.255.255.252 no shutdown ip mtu 1496 no ip address exit no mop enabled interface GigabitEthernet2.102 no mop sysid no shutdown negotiation auto encapsulation dot1Q 102 exit ip address 10.2.103.2 interface Tunnel1 255.255.255.252 no shutdown ip mtu 1496 ip unnumbered GigabitEthernet1 exit tunnel source GigabitEthernet1 interface GigabitEthernet3 tunnel mode SD - WAN description Connect to Lan exit no shutdown interface Tunnel102 ip address 10.10.103.2 no shutdown 255.255.255.248 ip unnumbered GigabitEthernet2.102 ip mtu 1500 tunnel source GigabitEthernet2.102 ip ospf area tunnel mode SD - WAN ip ospf network point-to-point exit logging buffered 262144 diagnostic bootup level minimal no logging rate-limit SD - WAN aaa authentication login default local interface GigabitEthernet1 aaa authorization exec default local tunnel-interface login on-success log encapsulation ipsec multilink bundle-name authenticated color biz-internet spanning-tree extend system-id no allow-service bgp spanning-tree mode rapid-pvst allow-service dhcp no crypto ikev2 diagnose error allow-service dns router ospf allow-service icmp router-id 32.32.32.32 no allow-service sshd default-information originate no allow-service netconf redistribute static no allow-service ntp ! no allow-service ospf no router rip no allow-service stun line no allow-service snmp login authentication default exit stopbits exit ! interface GigabitEthernet2.101 line vty tloc-extension GigabitEthernet1 login authentication default exit transport input ssh interface GigabitEthernet2.102 ! tunnel-interface line vty 80 encapsulation ipsec login authentication default color mpls restrict transport input ssh allow-service all ! allow-service bgp allow-service dhcp licensing config privacy version false allow-service dns licensing config utility utility-enable allow-service icmp false no allow-service sshd netconf-yang cisco-ia blocking cli- no allow-service netconf blocking-enabled no allow-service ntp bfd color mpls no allow-service ospf hello-interval 100 no allow-service stun no pmtu-discovery no allow-service snmp multiplier exit ! exit bfd color biz-internet omp hello-interval 100 no shutdown no pmtu-discovery graceful-restart multiplier address-family ipv4 ! advertise connected bfd app-route poll-interval 120000 advertise static security ! ipsec address-family ipv6 authentication-type 20 20 ah-sha1-hmac advertise connected sha1-hmac advertise static ! ! ! ! nacm cmd-read-default deny ! nacm cmd-exec-default deny licensing config enable false licensing config privacy hostname false Chi Nhánh CN4: host-name CN4 ! gps-location latitude 39.0 usergroup tenantadmin gps-location longitude 127.0 ! device-groups user admin SITE4 system-ip site-id 4.4.4.4 password $6$yVwCwnGwiS.EKJj7$GXq501Fr admin-tech-on-failure RqvwxxQqlDx9DuB1rqdXkVhyMU no route-consistency-check 96JvdVBDDZpR1z/dCi3Ltl6LqGNm organization-name CrxGbV/xddicmydjZ7lNC1Q1 "Viptela Inc" vbond 100.10.10.254 ! aaa ! auth-order local radius tacacs logging usergroup basic disk task system read write enable task interface read write ! ! ! usergroup netadmin ! ! bfd color mpls usergroup operator hello-interval 100 task system read no pmtu-discovery task interface read multiplier task policy read ! task routing read bfd color biz-internet task security read hello-interval 100 20 no pmtu-discovery remote-as 65535 multiplier password 20 ! $8$o7sCG6QYLIWZ4ojtRCu7JQ2S omp u2AXBo+CruI4t0kELHM= no shutdown ! send-path-limit 16 ! ecmp-limit ! 16 graceful-restart interface ge0/0 advertise connected description connect-Internet advertise static ip address 100.10.10.9/24 ! ipv6 dhcp-client security nat ipsec ! authentication-type ah-sha1-hmac tunnel-interface sha1-hmac encapsulation ipsec ! color biz-internet restrict ! no allow-service bgp vpn allow-service dhcp router allow-service dns bgp 104 allow-service icmp router-id 4.4.4.4 no allow-service sshd address-family ipv4-unicast no allow-service netconf network 10.10.104.0/30 no allow-service ntp ! no allow-service ospf neighbor 192.168.104.1 no allow-service stun description connect-BGP-ISP allow-service https no shutdown ! no shutdown ! ! interface ge0/2 interface ge0/1 description connect-LAN-Network description connect-MPLS ip address 10.10.104.1/30 ip address 192.168.104.2/30 no shutdown tunnel-interface ! encapsulation ipsec ip route 0.0.0.0/0 100.10.10.2 color mpls restrict ip route 10.10.0.0/16 192.168.104.1 allow-service all ip allow-service bgp 192.168.104.1 allow-service dhcp ! allow-service dns vpn 512 allow-service icmp interface eth0 no allow-service sshd ip dhcp-client no allow-service netconf no shutdown no allow-service ntp ! no allow-service ospf ! route 192.168.0.0/16 no allow-service stun allow-service https ! no shutdown DataCenter DC: Hostname DC gps-location longitude -105.0 gps-location latitude 43.0 device-groups DC system-ip 5.5.5.5 site-id ip route 0.0.0.0 0.0.0.0 100.10.10.2 admin-tech-on-failure ip organization-name 192.168.105.1 "Viptela Inc" route 10.10.0.0 vbond 100.10.10.254 ip ! GigabitEthernet1 memory free low-watermark tftp 255.255.0.0 source-interface ip access-list extended NAT processor 80544 default 10 permit igmp any any call-home ! contact-email-addr sch-smart- ip access-list extended meraki-fqdn- licensing@cisco.com dns profile CiscoTAC-1 ! active no ip http server ! ip http secure-server ! ip no service pad GigabitEthernet1 service password-encryption no ip igmp ssm-map query dns service timestamps debug datetime ip nat inside source list NAT interface msec GigabitEthernet1 overload service timestamps log datetime msec no ip rsvp signalling rate-limit service call-home ipv6 unicast-routing no service tcp-small-servers no ipv6 mld ssm-map query dns no service udp-small-servers interface GigabitEthernet1 platform console serial description connect-Internet username admin privilege 15 secret no shutdown $1$VhfT$k/Eyni0ZlbLBdhkTIzUy./ ip no ip dhcp use class 255.255.255.0 http client address source-interface 100.10.10.10 ip nat outside no mop enabled no mop enabled no mop sysid no mop sysid negotiation auto negotiation auto exit exit interface Tunnel1 interface GigabitEthernet2 no shutdown description connect-MPLS ip unnumbered GigabitEthernet1 no shutdown tunnel source GigabitEthernet1 ip address 192.168.105.2 tunnel mode SD - WAN 255.255.255.252 interface Tunnel2 no mop enabled no shutdown no mop sysid ip unnumbered GigabitEthernet2 negotiation auto tunnel source GigabitEthernet2 exit tunnel mode SD - WAN interface GigabitEthernet3 exit description connect-LAN-Network ! no shutdown logging buffered 262144 ip address 10.10.105.1 no logging rate-limit 255.255.255.252 aaa authentication login default local ip mtu 1500 aaa authorization exec default local no mop enabled login on-success log no mop sysid multilink bundle-name authenticated negotiation auto spanning-tree extend system-id exit spanning-tree mode rapid-pvst interface GigabitEthernet4 no crypto ikev2 diagnose error no shutdown router bgp 105 no ip address bgp router-id 5.5.5.5 bgp log-neighbor-changes line vty 80 login authentication default neighbor 192.168.105.1 remote-as transport input ssh 65535 ! neighbor 192.168.105.1 activate diagnostic bootup level minimal neighbor 192.168.105.1 description SD - WAN connect-BGP-ISP interface GigabitEthernet1 neighbor 192.168.105.1 ebgp- tunnel-interface multihop encapsulation ipsec neighbor 192.168.105.1 password color biz-internet 020E055800031D6F1E1B594E no allow-service bgp neighbor 192.168.105.1 send- allow-service dhcp community both allow-service dns address-family ipv4 unicast allow-service icmp network 10.10.105.0 255.255.255.252 mask no allow-service sshd no allow-service netconf exit-address-family no allow-service ntp ! no allow-service ospf no router rip no allow-service stun line no allow-service snmp login authentication default exit stopbits exit ! interface GigabitEthernet2 line vty tunnel-interface login authentication default encapsulation ipsec transport input ssh color mpls restrict ! allow-service all allow-service bgp licensing config privacy version false allow-service dhcp licensing config utility utility-enable allow-service dns false allow-service icmp netconf-yang cisco-ia blocking cli- no allow-service sshd blocking-enabled no allow-service netconf bfd color mpls no allow-service ntp hello-interval 100 no allow-service ospf no pmtu-discovery no allow-service stun multiplier no allow-service snmp ! 20 exit bfd color biz-internet omp hello-interval 100 no shutdown no pmtu-discovery send-path-limit 16 multiplier ecmp-limit ! 16 20 graceful-restart bfd app-route multiplier address-family ipv4 bfd app-route poll-interval 120000 advertise connected security advertise static ipsec ! authentication-type ah-sha1-hmac address-family ipv6 sha1-hmac advertise connected ! advertise static nacm cmd-read-default deny ! nacm cmd-exec-default deny licensing config enable false licensing config privacy hostname false