De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt het proces beschreven van het onboarden van NFVIS-compatibele systemen in een Catalyst™ SD-WAN-omgeving voor beheer en gebruik.
Cisco raadt kennis van de volgende onderwerpen aan:
Verondersteld wordt dat:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Het vertrouwen van de WAN Edge-apparaten wordt gedaan met behulp van de root chain-certificaten die vooraf zijn geladen in de productie, handmatig zijn geladen, automatisch zijn gedistribueerd door vManage of zijn geïnstalleerd tijdens het geautomatiseerde PnP- of ZTP-implementatieproces.
De SD-WAN-oplossing maakt gebruik van een allow list-model, wat betekent dat de WAN Edge-apparaten die mogen deelnemen aan het SDWAN-overlay-netwerk vooraf bekend moeten zijn bij alle SD-WAN-controllers. Dit wordt gedaan door de WAN Edge-apparaten toe te voegen aan het Plug-and-Play connect-portaal (PnP) op https://software.cisco.com/software/pnp/devices
Deze procedure vereist altijd dat het apparaat wordt geïdentificeerd, vertrouwd en op de lijst van machtigingen wordt vermeld in hetzelfde overlay-netwerk. Wederzijdse authenticatie moet plaatsvinden voor alle SD-WAN-componenten voordat beveiligde controleverbindingen tussen SD-WAN-componenten in hetzelfde overlay-netwerk tot stand worden gebracht. De identiteit van het WAN Edge-apparaat wordt uniek geïdentificeerd aan de hand van de chassis-ID en het serienummer van het certificaat. Afhankelijk van de WAN Edge-router worden certificaten op verschillende manieren verstrekt:
Om Zero Touch Provisioning (ZTP) uit te voeren, moet een DHCP-server beschikbaar zijn. Als dat niet het geval is, kan handmatig een IP-adres worden toegewezen om door te gaan met de resterende stappen van het Plug and Play (PnP) -proces.
Afb. 1. PnP- en WAN Edge-apparaatvertrouwenswerkstroomdiagram.
De op hardware gebaseerde SUDI-chip (Secure Unique Device Identifier) van NFVIS-compatibele hardware wordt gebruikt om ervoor te zorgen dat alleen geautoriseerde apparaten een beveiligde TLS- of DTLS-besturingstunnel kunnen instellen voor de SD-WAN Manager-orchestrator. Verzamel het corresponderende serienummer met behulp van de opdracht Support Show Chassis Executive Level:
C8300-UCPE-NFVIS# support show chassis
Product Name : C8300-UCPE-1N20
Chassis Serial Num : XXXXXXXXX
Certificate Serial Num : XXXXXXXXXXXXXXXXX
Navigeer naar https://software.cisco.com/software/pnp/devices en selecteer de juiste Smart Account en Virtual Account voor uw gebruikers- of laboratoriumomgeving. (Als meerdere Smart Accounts in naam samenvallen, kunt u ze onderscheiden met de domeinidentificatie).
Als u of uw gebruiker niet weet met welk Smart Account (SA) / Virtueel Account (VA) u moet werken, kunt u altijd zoeken en het bestaande / ingebouwde serienummer in de tekstlink "Apparaat zoeken" om te zien tot welke SA / VA het behoort.
Afb. 2. Selectie SA/VA en knop Apparaat zoeken.
Zodra de juiste SA/VA is geselecteerd, klikt u op "Apparaten toevoegen…":
Fig. 3. "Apparaten toevoegen..." Klik om te klikken voor fysieke apparaatregistratie.
Voor dit specifieke geval, aan boord slechts 1 apparaat, dus een handmatige invoer is voldoende:
Fig. 4. "Apparaten toevoegen..." als alternatief voor apparaatinformatie-invoer, handmatig (afzonderlijk) of CSV (meerdere).
Voor stap 2 klikt u op de knop "+ Apparaat identificeren…". Er verschijnt een modale vorm. Vul de gegevens in met de informatie die wordt weergegeven op de ondersteuningsweergave van chassisuitvoer van NFVIS en selecteer het bijbehorende vBond-controllerprofiel.
Afb. 5. Identificatieformulier voor apparaten.
Zodra het is opgeslagen, klikt u op Volgende voor stap 3 en uiteindelijk op Indienen voor stap 4.
Voor meer informatie over de diverse configuratie-instellingen voor PnP binnen NFVIS, die zowel de automatische als de statische modus omvatten, raadpleegt u de bron: NFVIS PnP-opdrachten.
Opgemerkt moet worden dat PnP standaard op alle NFVIS-versies is ingeschakeld.
Als vManage het internet en het PnP-portaal kan bereiken, moet u gewoon een SA/VA-synchronisatie kunnen uitvoeren. Navigeer hiervoor naar Configuratie > Apparaten en klik op een tekstknop die aangeeft dat Smart Account synchroniseren is. Aanmeldingsgegevens die worden gebruikt voor het aanmelden bij Cisco Software Central zijn vereist. Zorg ervoor dat u de certificaatpush naar alle controllers verzendt.
Afb. 6. WAN Edge Router update via SA/VA synchronisatie.
Als vManage zich in een laboratoriumomgeving bevindt of geen internettoegang heeft, kunt u handmatig een provisioningbestand uploaden vanuit PnP dat het SN moet bevatten dat aan de apparaatlijst is toegevoegd. Dit bestand is van het type .viptela (Viptela Serial File), dat kan worden verkregen via het tabblad "Controller Profiles":
Afb. 7. Downloaden van provisioningbestanden voor update van de CEdge WAN-lijst.
Navigeer voor het handmatig uploaden van het provisioningbestand naar Configuratie > Apparaten en klik op een tekstknop die de lijst met WAN-randen uploaden aangeeft. Er verschijnt een zijbalk waar u het betreffende bestand kunt slepen en neerzetten (als de knop Uploaden niet wordt gemarkeerd nadat deze acties zijn uitgevoerd, klikt u op Kies een bestand en zoek het bestand handmatig in het pop-upvenster van de bestandsverkenner). Zorg ervoor dat u de certificaatpush naar alle controllers verzendt.
Afb. 8. WAN-lijst update met behulp van het provisioning-bestand (VSF, Viptela Serial File) gedownload van de PnP-portal.
Fig. 9. 8300-apparaat in de lijst met randen.
Als NFVIS devicehelper.cisco.com kan oplossen (PnP bereiken via internet), wordt onboarding automatisch uitgevoerd. Een onboard NFVIS-systeem presenteert automatisch een viptela-systeem: systeem en vpn 0 configuratie die basisinformatie over de controller bevat.
Vanaf Cisco NFVIS Release 4.9.1 wordt het tot stand brengen van een besturingsverbinding met het beheervlak via de beheerpoort ondersteund. De beheerpoort moet bereikbaar zijn met SD-WAN Manager voor een succesvolle verbinding met het besturingsvlak.
Opmerking: Elke opdracht met het "systeem" trefwoord moet worden geschreven als systeem: systeem. Als de tab-toets wordt gebruikt voor voltooiing, wordt deze automatisch aangepast aan deze nieuwe standaard.
C8300-UCPE-NFVIS# show running-config viptela-system:system
viptela-system:system
admin-tech-on-failure
no vrrp-advt-with-phymac
sp-organization-name "Cisco Systems"
organization-name "Cisco Systems"
vbond port 12346
logging
disk
enable
!
!
ntp
parent
no enable
stratum 5
exit
!
!
VPN 0 is de vooraf gedefinieerde Transport VPN van de SD-WAN-oplossing. Het kan niet worden verwijderd of gewijzigd. Het doel van deze VPN is om een scheiding af te dwingen tussen de WAN-transportnetwerken (de onderlaag) en netwerkdiensten (de overlay):
C8300-UCPE-NFVIS# show running-config vpn 0
vpn 0
interface wan-br
no shutdown
tunnel-interface
color gold
allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
encapsulation ipsec
!
!
!
Controleverbindingen zijn DTLS-sessies die zijn ingesteld tussen verschillende nodes (controllers en edge routers) van de SD-WAN-verbinding. Aangezien NFVIS geen routeringsplatform is dat verantwoordelijk is voor routeringsbeslissingen, vormt het geen controleverbindingen met de vSmarts. Uit de doos kunt u een "challenge" -status voor vManage waarnemen:
C8300-UCPE-NFVIS# show control connection
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.88.247.79 12346 10.88.247.79 12346 Cisco Systems gold NA up 0:00:00:00 0
vmanage dtls 10.10.10.10 100 0 10.88.247.71 12946 10.88.247.71 12946 Cisco Systems gold No challenge 0
Dit geeft vaak aan dat er geen systeem-ip is, en/of organisatienaam verkeerd of helemaal niet is geconfigureerd. Het PnP-portaal en vBond moeten de organisatienaam vaststellen en zodra de besturingsverbinding met vManage tot stand is gebracht. Anders kunt u deze informatie binnen een NFV Config-Group pushen (ondersteund vanaf 20.14.1) met de respectievelijke systeem-ip en site-id in de sjabloon, of deze statisch configureren binnen de subconfiguratie viptela-system: systeem:
C8300-UCPE-NFVIS#(config)# viptela-system:system
C8300-UCPE-NFVIS#(config-viptela-system:system)# system-ip
C8300-UCPE-NFVIS#(config-viptela-system:system)# site-id
C8300-UCPE-NFVIS#(config-viptela-system:system)# organization-name
C8300-UCPE-NFVIS#(config-viptela-system:system)# commit
Commit complete.
Deze objecten zijn te vinden in vManage:
Nadat de resterende configuratie is ingevoerd in het viptela-systeem: subconfiguratie van het systeem, hebt u actieve/gevestigde controleverbindingen nodig.
C8300-UCPE-NFVIS# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.88.247.79 12346 10.88.247.79 12346 Cisco Systems gold NA up 0:00:00:11 0
vmanage dtls 10.10.10.10 100 0 10.88.247.71 12946 10.88.247.71 12946 Cisco Systems gold No up 0:00:00:06 0
Als u NFVIS wilt terugbrengen naar de status "Niet-beheerd", moet u de volgende acties uitvoeren:
Fig. 10. 8300 apparaatverwijdering uit het PnP-portaal.
2. Fabrieksreset NFVIS.
C8300-UCPE-NFVIS# factory-default-reset all
3. Optionele stappen: Verwijder het apparaat uit de vManage Edge-lijst:
3.1 Het certificaat van het hulpmiddel ongeldig maken.
Fig. 11. 8300 certificaat ongeldigverklaring.
3.2 Verwijder het apparaat uit de WAN Edge-lijst.
Afbeelding 12. 8300 verwijderen uit de WAN Edge-lijst.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
18-Dec-2024 |
Eerste vrijgave |