Onboard NFVIS WAN Edge-apparaten

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (610.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 december 2024
Document-id:222670

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt het proces beschreven van het onboarden van NFVIS-compatibele systemen in een Catalyst™ SD-WAN-omgeving voor beheer en gebruik.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco SDWAN
    • NFVIS
    • Plug & Play (PNP)

    Verondersteld wordt dat:

    • SD-WAN-controllers (vManage, vBond en vSmart) zijn al geïmplementeerd met geldige certificaten.
    • Cisco WAN Edge (NFVIS in dit geval) is bereikbaar voor de vBond-orchestrator en andere SD-WAN-controllers die bereikbaar zijn via openbare IP-adressen in het WAN-transport
    • De NFVIS-versie moet voldoen aan de compatibiliteitshandleiding voor besturingsonderdelen.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    hardware

    • C8300-UCPE-1N20 (maar kan worden toegepast op elk NFVIS-geschikt platform)

    in Cisco IOS®-software

    • vManage 20.14.1
    • vSmart & vBond 20.14.1
    • NFVIS 4.14.1

    PnP-workflow

    Het vertrouwen van de WAN Edge-apparaten wordt gedaan met behulp van de root chain-certificaten die vooraf zijn geladen in de productie, handmatig zijn geladen, automatisch zijn gedistribueerd door vManage of zijn geïnstalleerd tijdens het geautomatiseerde PnP- of ZTP-implementatieproces.

    De SD-WAN-oplossing maakt gebruik van een allow list-model, wat betekent dat de WAN Edge-apparaten die mogen deelnemen aan het SDWAN-overlay-netwerk vooraf bekend moeten zijn bij alle SD-WAN-controllers. Dit wordt gedaan door de WAN Edge-apparaten toe te voegen aan het Plug-and-Play connect-portaal (PnP) op https://software.cisco.com/software/pnp/devices

    Deze procedure vereist altijd dat het apparaat wordt geïdentificeerd, vertrouwd en op de lijst van machtigingen wordt vermeld in hetzelfde overlay-netwerk. Wederzijdse authenticatie moet plaatsvinden voor alle SD-WAN-componenten voordat beveiligde controleverbindingen tussen SD-WAN-componenten in hetzelfde overlay-netwerk tot stand worden gebracht. De identiteit van het WAN Edge-apparaat wordt uniek geïdentificeerd aan de hand van de chassis-ID en het serienummer van het certificaat. Afhankelijk van de WAN Edge-router worden certificaten op verschillende manieren verstrekt:

    • Hardware-based vEdge: Certificaat wordt opgeslagen in de on-board TPM-chip (Tamper Proof Module) die tijdens de productie is geïnstalleerd.
    • Hardwarematig Cisco IOS®-XE SD-WAN: certificaat wordt opgeslagen in de SUDI-chip die tijdens de productie is geïnstalleerd.
    • Virtueel platform of Cisco IOS-XE SD-WAN-apparaten: er zijn geen rootcertificaten (zoals het ASR1002-X-platform) vooraf geïnstalleerd op het apparaat. Voor deze apparaten wordt door vManage een eenmalig wachtwoord (OTP) verstrekt om het apparaat te verifiëren met de SD-WAN-controllers.

    Om Zero Touch Provisioning (ZTP) uit te voeren, moet een DHCP-server beschikbaar zijn. Als dat niet het geval is, kan handmatig een IP-adres worden toegewezen om door te gaan met de resterende stappen van het Plug and Play (PnP) -proces.

    PnP and WAN Edge Device Trust Workflow

    Afb. 1. PnP- en WAN Edge-apparaatvertrouwenswerkstroomdiagram.

    Veilige onboarding van het NFVIS-compatibele apparaat

    SN- en certificaatserienummer ophalen

    De op hardware gebaseerde SUDI-chip (Secure Unique Device Identifier) van NFVIS-compatibele hardware wordt gebruikt om ervoor te zorgen dat alleen geautoriseerde apparaten een beveiligde TLS- of DTLS-besturingstunnel kunnen instellen voor de SD-WAN Manager-orchestrator. Verzamel het corresponderende serienummer met behulp van de opdracht Support Show Chassis Executive Level:

     C8300-UCPE-NFVIS# support show chassis
 Product Name             : C8300-UCPE-1N20
 Chassis Serial Num       : XXXXXXXXX
 Certificate Serial Num   : XXXXXXXXXXXXXXXXX

    Het apparaat toevoegen aan het PnP-portaal

    Navigeer naar https://software.cisco.com/software/pnp/devices en selecteer de juiste Smart Account en Virtual Account voor uw gebruikers- of laboratoriumomgeving. (Als meerdere Smart Accounts in naam samenvallen, kunt u ze onderscheiden met de domeinidentificatie).

    Als u of uw gebruiker niet weet met welk Smart Account (SA) / Virtueel Account (VA) u moet werken, kunt u altijd zoeken en het bestaande / ingebouwde serienummer in de tekstlink "Apparaat zoeken" om te zien tot welke SA / VA het behoort.

    SA/VA Selection and Device Search Button

    Afb. 2. Selectie SA/VA en knop Apparaat zoeken.

    Zodra de juiste SA/VA is geselecteerd, klikt u op "Apparaten toevoegen…":

    Add Devices

    Fig. 3. "Apparaten toevoegen..." Klik om te klikken voor fysieke apparaatregistratie.

    Voor dit specifieke geval, aan boord slechts 1 apparaat, dus een handmatige invoer is voldoende:

    Add Devices Alternative

    Fig. 4. "Apparaten toevoegen..." als alternatief voor apparaatinformatie-invoer, handmatig (afzonderlijk) of CSV (meerdere).

    Voor stap 2 klikt u op de knop "+ Apparaat identificeren…". Er verschijnt een modale vorm. Vul de gegevens in met de informatie die wordt weergegeven op de ondersteuningsweergave van chassisuitvoer van NFVIS en selecteer het bijbehorende vBond-controllerprofiel.

    Device Identification Form

    Afb. 5. Identificatieformulier voor apparaten.

    Zodra het is opgeslagen, klikt u op Volgende voor stap 3 en uiteindelijk op Indienen voor stap 4.

    PnP in NFVIS

    Voor meer informatie over de diverse configuratie-instellingen voor PnP binnen NFVIS, die zowel de automatische als de statische modus omvatten, raadpleegt u de bron: NFVIS PnP-opdrachten.

    Opgemerkt moet worden dat PnP standaard op alle NFVIS-versies is ingeschakeld.

    vManage-synchronisatie met PnP

    Online modus

    Als vManage het internet en het PnP-portaal kan bereiken, moet u gewoon een SA/VA-synchronisatie kunnen uitvoeren. Navigeer hiervoor naar Configuratie > Apparaten en klik op een tekstknop die aangeeft dat Smart Account synchroniseren is. Aanmeldingsgegevens die worden gebruikt voor het aanmelden bij Cisco Software Central zijn vereist. Zorg ervoor dat u de certificaatpush naar alle controllers verzendt.

    WAN Edge Router Update via SA/VA Synchronization

    Afb. 6. WAN Edge Router update via SA/VA synchronisatie.

    Offline-modus

    Als vManage zich in een laboratoriumomgeving bevindt of geen internettoegang heeft, kunt u handmatig een provisioningbestand uploaden vanuit PnP dat het SN moet bevatten dat aan de apparaatlijst is toegevoegd. Dit bestand is van het type .viptela (Viptela Serial File), dat kan worden verkregen via het tabblad "Controller Profiles":

    Provisioning File Download for CEge WAN List

    Afb. 7. Downloaden van provisioningbestanden voor update van de CEdge WAN-lijst.

    Navigeer voor het handmatig uploaden van het provisioningbestand naar Configuratie > Apparaten en klik op een tekstknop die de lijst met WAN-randen uploaden aangeeft. Er verschijnt een zijbalk waar u het betreffende bestand kunt slepen en neerzetten (als de knop Uploaden niet wordt gemarkeerd nadat deze acties zijn uitgevoerd, klikt u op Kies een bestand en zoek het bestand handmatig in het pop-upvenster van de bestandsverkenner). Zorg ervoor dat u de certificaatpush naar alle controllers verzendt.

    WAN List Update Using Provisioning File

    Afb. 8. WAN-lijst update met behulp van het provisioning-bestand (VSF, Viptela Serial File) gedownload van de PnP-portal.

    Nadat u de methode Online of Offline hebt voltooid, moet u een apparaatvermelding in de tabel met de WAN-randlijst kunnen zien die overeenkomt met de SN van het apparaat dat is geregistreerd in PnP:

    8300 Device in Edge List

    Fig. 9. 8300-apparaat in de lijst met randen.

    Automatische NFVIS-onboarding- en -besturingsverbindingen

    Als NFVIS devicehelper.cisco.com kan oplossen (PnP bereiken via internet), wordt onboarding automatisch uitgevoerd. Een onboard NFVIS-systeem presenteert automatisch een viptela-systeem: systeem en vpn 0 configuratie die basisinformatie over de controller bevat.

    Vanaf Cisco NFVIS Release 4.9.1 wordt het tot stand brengen van een besturingsverbinding met het beheervlak via de beheerpoort ondersteund. De beheerpoort moet bereikbaar zijn met SD-WAN Manager voor een succesvolle verbinding met het besturingsvlak.

    note-icon

    Opmerking: Elke opdracht met het "systeem" trefwoord moet worden geschreven als systeem: systeem. Als de tab-toets wordt gebruikt voor voltooiing, wordt deze automatisch aangepast aan deze nieuwe standaard.

    C8300-UCPE-NFVIS# show running-config viptela-system:system
viptela-system:system
 admin-tech-on-failure
 no vrrp-advt-with-phymac
 sp-organization-name "Cisco Systems"
 organization-name "Cisco Systems"
 vbond  port 12346
 logging
  disk
   enable
  !
 !
 ntp
  parent
   no enable
   stratum 5
  exit
 !
!

    VPN 0 is de vooraf gedefinieerde Transport VPN van de SD-WAN-oplossing. Het kan niet worden verwijderd of gewijzigd. Het doel van deze VPN is om een scheiding af te dwingen tussen de WAN-transportnetwerken (de onderlaag) en netwerkdiensten (de overlay):

    C8300-UCPE-NFVIS# show running-config vpn 0
vpn 0
 interface wan-br
  no shutdown
  tunnel-interface
   color gold
   allow-service all
   no allow-service bgp
   allow-service dhcp
   allow-service dns
   allow-service icmp
   no allow-service sshd
   no allow-service netconf
   no allow-service ntp
   no allow-service ospf
   no allow-service stun
   allow-service https
   encapsulation ipsec
  !
 !
!

    Controleverbindingen zijn DTLS-sessies die zijn ingesteld tussen verschillende nodes (controllers en edge routers) van de SD-WAN-verbinding. Aangezien NFVIS geen routeringsplatform is dat verantwoordelijk is voor routeringsbeslissingen, vormt het geen controleverbindingen met de vSmarts. Uit de doos kunt u een "challenge" -status voor vManage waarnemen:

    C8300-UCPE-NFVIS# show control connection
                                                                                       PEER                                          PEER                                          CONTROLLER
PEER    PEER PEER            SITE       DOMAIN PEER                                    PRIV  PEER                                    PUB                                           GROUP
TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP                              PORT  PUBLIC IP                               PORT  ORGANIZATION            LOCAL COLOR     PROXY STATE UPTIME      ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond   dtls 0.0.0.0         0          0      10.88.247.79                            12346 10.88.247.79                            12346 Cisco Systems           gold            NA    up     0:00:00:00 0
vmanage dtls 10.10.10.10     100        0      10.88.247.71                            12946 10.88.247.71                            12946 Cisco Systems           gold            No    challenge           0

    Dit geeft vaak aan dat er geen systeem-ip is, en/of organisatienaam verkeerd of helemaal niet is geconfigureerd. Het PnP-portaal en vBond moeten de organisatienaam vaststellen en zodra de besturingsverbinding met vManage tot stand is gebracht. Anders kunt u deze informatie binnen een NFV Config-Group pushen (ondersteund vanaf 20.14.1) met de respectievelijke systeem-ip en site-id in de sjabloon, of deze statisch configureren binnen de subconfiguratie viptela-system: systeem:

    C8300-UCPE-NFVIS#(config)# viptela-system:system
C8300-UCPE-NFVIS#(config-viptela-system:system)# system-ip 
C8300-UCPE-NFVIS#(config-viptela-system:system)# site-id          
C8300-UCPE-NFVIS#(config-viptela-system:system)# organization-name 
C8300-UCPE-NFVIS#(config-viptela-system:system)# commit
Commit complete.

    Deze objecten zijn te vinden in vManage:

    • Naam organisatie: Beheer > Instellingen > Systeem > Naam organisatie
    • IP en poort van validator: Beheer > Instellingen > Systeem > Validator

    Nadat de resterende configuratie is ingevoerd in het viptela-systeem: subconfiguratie van het systeem, hebt u actieve/gevestigde controleverbindingen nodig.

    C8300-UCPE-NFVIS# show control connections
                                                                                       PEER                                          PEER                                          CONTROLLER
PEER    PEER PEER            SITE       DOMAIN PEER                                    PRIV  PEER                                    PUB                                           GROUP
TYPE    PROT SYSTEM IP       ID         ID     PRIVATE IP                              PORT  PUBLIC IP                               PORT  ORGANIZATION            LOCAL COLOR     PROXY STATE UPTIME      ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond   dtls 0.0.0.0         0          0      10.88.247.79                            12346 10.88.247.79                            12346 Cisco Systems           gold            NA    up     0:00:00:11 0
vmanage dtls 10.10.10.10     100        0      10.88.247.71                            12946 10.88.247.71                            12946 Cisco Systems           gold            No    up     0:00:00:06 0

    Beheerder NFVIS uitschakelen

    Als u NFVIS wilt terugbrengen naar de status "Niet-beheerd", moet u de volgende acties uitvoeren:

    1. Verwijder de apparaatvermelding uit het PnP-portaal:

    semadrig_0-1728623515463

    Fig. 10. 8300 apparaatverwijdering uit het PnP-portaal.

    2. Fabrieksreset NFVIS.

    C8300-UCPE-NFVIS# factory-default-reset all

    3. Optionele stappen: Verwijder het apparaat uit de vManage Edge-lijst:

    3.1 Het certificaat van het hulpmiddel ongeldig maken.

    semadrig_2-1728623745651

    Fig. 11. 8300 certificaat ongeldigverklaring.

    3.2 Verwijder het apparaat uit de WAN Edge-lijst.

    semadrig_3-1728623902319

    Afbeelding 12. 8300 verwijderen uit de WAN Edge-lijst.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    18-Dec-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Sebastian Madrigal
      technisch adviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten