SDWAN-viptela设备上线配置

注意：vEdge上线需要类似授权的东西，要在官网申请，因此如果没有，此实验无法实现

环境说明

vbond，vmanager，vsmart，vedge设备默认用户名密码均为admin

ISP配置为DHCP Server为vEdge2分配IP地址，且分配DNS地址192.168.64.30，用于后续解析ztp.viptela.com

ZTP设备用于此实验中vEdge2零配置上线

ISP所有接口IP地址都配置为254

注意：VPN 0 用来vmanage和vedge、vbond、vsmart之间通信

VPN 512用来管理设备

vEdge设备的ge0/0接口需要绑定VPN0 通信，eth0接口绑定VPN512管理设备（必须这样）

配置完成后需要commit提交，否则不生效

1、设备基础配置

vManager配置

配置用户名，system-ip类似于router-id，用于标识设备，site-id是站点id，organization-name需要所有设备配置一致，且需要到官网注册，并需要指定vbond的IP地址，VPN 0绑定eth0接口，开启tunnel接口，配置默认路由，且启用接口

vBond配置

需要指定自己为vbond，且只作为vbond使用，其他配置和vmanager类似，且需要封装ipsec

vSmart配置

测试连通性

ISP设备配置

2、设备认证

这里利用vManager来签名和发布证书

2.1 登录到vManager设备生成根证书

进入到这个视图vshell，pwd查看当前目录

生成根证书，ls-l查看，显示成功了

openssl req -x509 -new -nodes -key ROOTCA.key -sha256 -days 1024 -subj "/C=CN/ST=HB/L=WH/O=xmdlz/CN=ca.vmanage" -out ROOTCA.pem

2.2 安装根证书

vManager，vBond，vSmart ，vEdge1都需要先卸载设备默认的根证书，然后安装此根证书

vManager卸载并安装

vBond卸载并安装，

注意：由于根证书是在vmanager设备生成的，需要先下载到vbond（vsmart，vedge同样），但此版本显示失败，和配置无关，因此后续所有的文件传输都通过xftp进行传输

将vManager的根证书下载到本地电脑，然后上传到vbond的home/admin/下（
后续vManager，vBond，vSmart vEdge1不在演示）

命令行查看

安装

vSmart卸载并安装

查看安装的根证书，重点检查标记这里有没有问题

2.3 产生证书请求（个人证书）

vManager配置

这里查看

vBond配置

vSmart配置

在vManager查看个人证书请求（那三个csr文件就是）

2.4 在vManager颁发证书

openssl x509 -req -in vmanage.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vmanage.crt -days 500 -sha256
openssl x509 -req -in vBond.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond.crt -days 500 -sha256
openssl x509 -req -in vSmart.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vsmart.crt -days 500 -sha256

注意：in后面跟的vsmart.csr要和个人证书的名字完全一致，包括大小写，由于上面我设置的vmanage是小写，vBond.csr和vSmart.csr是大写,所以这么写

证书颁发完成后，需要把证书文件上传到各自设备并安装（由于当前证书在vManager设备上，通过xftp将各自的个人证书传到设备，然后安装，如：vbond只需要安装vbond的个人证书）

2.5 安装个人证书

查看安装的个人证书

3、登录到vManager的web操作界面

3.1 添加设备上线

更改了这些配置

点这里

添加vBond

添加vSmart

查看状态

注意：如果后续登陆不到vManager设备的web，但是能ping通，可能是证书有问题，需要登录到

vManager的命令行界面，将vManager的个人证书下载到本地，安装到电脑上，然后就可以了登录WEB了

将证书给推给vBond

此时设备上线了，但是此时设备还没被纳管，先不管

查看

这里也查一下

4、配置vEdge上线（vEdge1正常上线，vEdge2零配置上线）

4.1配置vEdge1上线

基础配置

配置vEdge1根证书（和vbond一样，先卸载默认根证书，然后把根证书从vsmart拉到本地，从本地上传到vEdge1）

然后需要在vManager上传vDdge白名单（类似授权文件，需要到cisco官网申请，这里不介绍了）

选中文件，此文件和Organization Name的名称是一致的

然后就能看到

然后到vEdge1，发送这条命令，vbond会对vEdge1进行认证

这个号要和授权这里一致

这里需要注意，如果vEdge设备不能正常上线，查看一下这里，发现是不是无效的，

然后跟着操作

然后再去用设备对应的SN 和Token上线设备就可以了

这是正常上线后

上线排错：

1）如果不能上线就需要检查Organization Name是否所有设备配置一致，（Organization Name类似加入到一个域）

2）查看vBond，vManager，vEdge1根证书是否成功安装（show certificate root-ca-cert）

Organization Name字段是否一致

3）vBond，vManager，vEdge1根证书卸载重新安装（request root-cert-chain uninstall）

（request root-cert-chain install /home/admin/ROOTCA.pem）

4）vEdge1不需要安装个人证书，只需要安装根证书，成功上线后，vBond会下发个人证书，

5）查看基础配置是否正确，网关是否正确，vEdge到vBond，vManager，vSmart设备的连通性，ping测试一下

6）vEdge是否指定了vBond地址，vBond是否指定了自己的IP地址且只作为vBond使用

7）检查vBond设备和vEdge1是否隧道封装且通过ipsec，vManager和vSmart只需要封装隧道，不需要通过ipsec

8）检查vEdge1设备是否VPN0 绑定的ge0/0接口，必须绑定这个

9）检查vBond，vManager，vSmart，vEdge1是否允许了all，sshd，netconf

在Vmanager的web下重新添加设备

排错过后，我这里已经vEdge1设备成功上线

4.2配置vEdge2零配置上线

注意：

零配置上线并不是不需要配置任何操作，只是vEdge2不需要配置太多操作，但是别的设备需要配置大量操作

环境介绍：

环境中需要有DHCP Server，用于给vEdge2分配IP，网关,DNS

我这里用ISP设备做DHCP Server，DHCP配置如下

且DNS Server的正向解析中要添加ztp.viptela.com和ZTP设备IP的条目配置如下

ZTP设备IP是192.168.64.104

vEdge设备默认会查找ZTP进行零配置上线，且默认域名就是ztp.viptela.com

开始操作：

先配置ZTP设备，将vBond地址指定为自己，且作为ztp server

此设备VPN 0需要关闭隧道封装（no tunnel-interface）

然后同样的方法，卸载原有根证书，安装根证书

生成个人证书请求

然后到vManager设备颁发此证书

vManager查看发现已经存在此请求

这个命令

openssl x509 -req -in ztp.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out ztp.crt -days 500 -sha256

发现已经颁发，将个人证书通过xftp传给ZTP设备

ZTP安装个人证书

然后到vManager

启动引导文件

ZTP设备执行这个命令

要写序列号，机箱号，指定vbond的真实地址，输入org-name，写根证书的路径

添加成功查看

然后到vEdge2，查看信息发现vEdge默认指定的vbond的域名就是zip.viptela.com(所有vEdge都一样)，这是默认配置

然后配置vEdge2

1）卸载并安装根证书

此环境由于需要下载根证书，因此要配置VPN512，同样的方法，先将根证书上传到本地，然后卸载默认根证书，安装新的根证书

卸载根证书

本地电脑连接到vEdge2,将根证书上传到vEdge2并安装

2）启用ge0/0接口，默认就是dhcp获取地址，

此时能ping通ztp.viptela.com

3)vEdge2配置机箱号序列号

此时发现vEdge2还没上线（上线SN会变），原因还没有在vManager设备上面给vEdge2下发配置

5）但查看vEdge2所有配置，发现vbond的地址被推送过来了，（不是手动配置的）

6）此时下发配置

登录到vManager，点模板

特性模板

新建模板

找到对应型号的模板配置

系统配置（配置系统模板）

为了方便其他vEdge使用该模板，我们选设备指定

配置VPN模板

保存

继续新增模板

然后保存就行了

继续新增模板

VPN512模板，就改这么多，保存就行了

继续新增模板VPN512接口模板

开启接口，指定eth0

模板配置完成

从模板添加设备

VPN0、VPN512的模板

选中对应设备机箱号

点这里

显示检查成功

查看发现设备上线了

vEdge2 零配置上线成功

此时登录到命令行，发现这些配置都下发成功了

总结：vEdge2零配置上线，该设备需要配置

机箱号，序列号，根证书，启用ge0/0接口，别的由vManager下发即可

SDWAN-viptela设备上线配置相关推荐

【驱动】GPIO 作为按键时的设备树配置
#[驱动]GPIO作为按键时的设备树配置 0.设备树 0.0 别名 imx6ul.dtsi 什么作用??? /*************开始/ / { aliases {- gpio0 = &am ...
sw标准件不能配置_思科设备与华为设备在配置Telnet，有啥不一样呢？
在工作中,可能我们会遇到思科的设备或者华为的,所以,我们需要不断的补充自己的知识,慢慢从小白走向大神之路.今天来看看思科与华为设备在配置Telnet有啥不一样的思科路由器2901配置Telnet远程 ...
USB基础---设备、配置、接口、端点和字符串描述符
USB设备用描述符报告他们的属性,一个描述符是一个已定义格式的数据结构体.每个描述符以一个表示描述符长度的字节和一个表示描述符类型的字节开始. USB描述符信息存储在USB设备中,在枚举过程中,USB ...
思科设备snmp配置。
1.设置IOS设备在IOS的Enable状态下,敲入 config terminal进入全局配置状态 Cdp run启用CDP snmp-server community gsunion ro \\配 ...
华为修改优先级命令_(完整版)华为设备基本配置命令
1 / 9 华为设备基本配置命令计算机命令 ~~~~~~~~~~ PCA login: root :使用 root 用户 password: linux :口令是 linux# shutdown -h ...
博图组态显示未分配的设备_S71200CPU做IO共享设备的配置方法【图文】
一.导读假设有两个PROFINETIO控制系统,每个PROFINET IO控制系统下各带有相应的IO设备,如下图所示: 若此时要求两个IO系统之间可进行数据交换,在不增加PN耦合器的情况下如何进行时 ...
两个必备小本领——恢复设备出厂配置、如何配置web方式登陆交换机
转载来源 :两个必备小本领--恢复设备出厂配置.如何配置web方式登陆交换机 :https://mp.weixin.qq.com/s/35EOLUODM8G15C-xXVcVCw 恢复设备出厂配置 1 ...
H3C--网络设备基本配置与调试
一.实验目的了解如何访问网络设备的命令行接口使用命令视图,掌握IP地址的配置方法明白如何配置远程登录通过Telnet登录路由器的配置,掌握使用Telnet进行远程连接通过SSH登录路由器的配 ...
华为设备IGMP配置命令
华为设备IGMP配置命令:使能IP组播路由功能是配置一切组播功能的前提.配置组播协议之前,必须先使能IP组播路由功能使能公网实例的IGMP命令 [Huawei]multicast routing-e ...

SDWAN-viptela设备上线配置

SDWAN-viptela设备上线配置相关推荐

最新文章

热门文章