SDWAN-viptela设备上线配置
注意:vEdge上线需要类似授权的东西,要在官网申请,因此如果没有,此实验无法实现
环境说明
vbond,vmanager,vsmart,vedge设备默认用户名密码均为admin
ISP配置为DHCP Server为vEdge2分配IP地址,且分配DNS地址192.168.64.30,用于后续解析ztp.viptela.com
ZTP设备用于此实验中vEdge2零配置上线
ISP所有接口IP地址都配置为254
注意:VPN 0 用来vmanage和vedge、vbond、vsmart之间通信
VPN 512用来管理设备
vEdge设备的ge0/0接口需要绑定VPN0 通信,eth0接口绑定VPN512管理设备(必须这样)
配置完成后需要commit提交,否则不生效
1、设备基础配置
vManager配置
配置用户名,system-ip类似于router-id,用于标识设备,site-id是站点id,organization-name需要所有设备配置一致,且需要到官网注册,并需要指定vbond的IP地址,VPN 0绑定eth0接口,开启tunnel接口,配置默认路由,且启用接口
vBond配置
需要指定自己为vbond,且只作为vbond使用,其他配置和vmanager类似,且需要封装ipsec
vSmart配置
测试连通性
ISP设备配置
2、设备认证
这里利用vManager来签名和发布证书
2.1 登录到vManager设备生成根证书
进入到这个视图vshell,pwd查看当前目录
生成根证书,ls-l查看,显示成功了
openssl req -x509 -new -nodes -key ROOTCA.key -sha256 -days 1024 -subj "/C=CN/ST=HB/L=WH/O=xmdlz/CN=ca.vmanage" -out ROOTCA.pem
2.2 安装根证书
vManager,vBond,vSmart ,vEdge1都需要先卸载设备默认的根证书,然后安装此根证书
vManager卸载并安装
vBond卸载并安装,
注意:由于根证书是在vmanager设备生成的,需要先下载到vbond(vsmart,vedge同样),但此版本显示失败,和配置无关,因此后续所有的文件传输都通过xftp进行传输
将vManager的根证书下载到本地电脑,然后上传到vbond的home/admin/下(
后续vManager,vBond,vSmart vEdge1不在演示)
命令行查看
安装
vSmart卸载并安装
查看安装的根证书,重点检查标记这里有没有问题
2.3 产生证书请求(个人证书)
vManager配置
这里查看
vBond配置
vSmart配置
在vManager查看个人证书请求(那三个csr文件就是)
2.4 在vManager颁发证书
openssl x509 -req -in vmanage.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vmanage.crt -days 500 -sha256
openssl x509 -req -in vBond.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond.crt -days 500 -sha256
openssl x509 -req -in vSmart.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vsmart.crt -days 500 -sha256
注意:in后面跟的vsmart.csr要和个人证书的名字完全一致,包括大小写,由于上面我设置的vmanage是小写,vBond.csr和vSmart.csr是大写,所以这么写
证书颁发完成后,需要把证书文件上传到各自设备并安装(由于当前证书在vManager设备上,通过xftp将各自的个人证书传到设备,然后安装,如:vbond只需要安装vbond的个人证书)
2.5 安装个人证书
查看 安装的个人证书
3、登录到vManager的web操作界面
3.1 添加设备上线
更改了这些配置
点这里
点这里
添加vBond
添加vSmart
查看状态
注意:如果后续登陆不到vManager设备的web,但是能ping通,可能是证书有问题,需要登录到
vManager的命令行界面,将vManager的个人证书下载到本地,安装到电脑上,然后就可以了登录WEB了
将证书给推给vBond
此时设备上线了,但是此时设备还没被纳管,先不管
查看
这里也查一下
4、配置vEdge上线(vEdge1正常上线,vEdge2零配置上线)
4.1配置vEdge1上线
基础配置
配置vEdge1根证书(和vbond一样,先卸载默认根证书,然后把根证书从vsmart拉到本地,从本地上传到vEdge1)
然后需要在vManager上传vDdge白名单(类似授权文件,需要到cisco官网申请,这里不介绍了)
选中文件,此文件和Organization Name的名称是一致的
然后就能看到
然后到vEdge1,发送这条命令,vbond会对vEdge1进行认证
这个号要和授权这里一致
这里需要注意,如果vEdge设备不能正常上线,查看一下这里,发现是不是无效的,
然后跟着操作
然后再去用设备对应的SN 和Token上线设备就可以了
这是正常上线后
上线 排错:
1)如果不能上线就需要检查Organization Name是否所有设备配置一致,(Organization Name类似加入到一个域)
2)查看vBond,vManager,vEdge1根证书是否成功安装(show certificate root-ca-cert)
Organization Name字段是否一致
3)vBond,vManager,vEdge1根证书卸载重新安装(request root-cert-chain uninstall)
(request root-cert-chain install /home/admin/ROOTCA.pem)
4)vEdge1不需要安装个人证书,只需要安装根证书,成功上线后,vBond会下发个人证书,
5)查看基础配置是否正确,网关是否正确,vEdge到vBond,vManager,vSmart设备的连通性,ping测试一下
6)vEdge是否指定了vBond地址,vBond是否指定了自己的IP地址且只作为vBond使用
7)检查vBond设备和vEdge1是否隧道封装且通过ipsec,vManager和vSmart只需要封装隧道,不需要通过ipsec
8)检查vEdge1设备是否VPN0 绑定的ge0/0接口,必须绑定这个
9)检查vBond,vManager,vSmart,vEdge1是否允许了all,sshd,netconf
在Vmanager的web下重新添加设备
排错过后,我这里已经vEdge1设备成功上线
4.2配置vEdge2零配置上线
注意:
零配置上线并不是不需要配置任何操作,只是vEdge2不需要配置太多操作,但是别的设备需要配置大量操作
环境介绍:
环境中需要有DHCP Server,用于给vEdge2分配IP,网关,DNS
我这里用ISP设备做DHCP Server,DHCP配置如下
且DNS Server的正向解析中要添加ztp.viptela.com和ZTP设备IP的条目配置如下
ZTP设备IP是192.168.64.104
vEdge设备默认会查找ZTP进行零配置上线,且默认域名就是ztp.viptela.com
开始操作:
先配置ZTP设备,将vBond地址指定为自己,且作为ztp server
此设备VPN 0需要关闭隧道封装(no tunnel-interface)
然后同样的方法,卸载原有根证书,安装根证书
生成个人证书请求
然后到vManager设备颁发此证书
vManager查看发现已经存在此请求
这个命令
openssl x509 -req -in ztp.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out ztp.crt -days 500 -sha256
发现已经颁发,将个人证书通过xftp传给ZTP设备
ZTP安装个人证书
然后到vManager
启动引导文件
ZTP设备执行这个命令
要写序列号,机箱号,指定vbond的真实地址,输入org-name,写根证书的路径
添加成功查看
然后到vEdge2,查看信息发现vEdge默认指定的vbond的域名就是zip.viptela.com(所有vEdge都一样),这是默认配置
然后配置vEdge2
1)卸载并安装根证书
此环境由于需要下载根证书,因此要配置VPN512,同样的方法,先将根证书上传到本地,然后卸载默认根证书,安装新的根证书
卸载根证书
本地电脑连接到vEdge2,将根证书上传到vEdge2并安装
2)启用ge0/0接口,默认就是dhcp获取地址,
此时能ping通ztp.viptela.com
3)vEdge2配置机箱号序列号
此时发现vEdge2还没上线(上线SN会变),原因还没有在vManager设备上面给vEdge2下发配置
5)但查看vEdge2所有配置,发现vbond的地址被推送过来了,(不是手动配置的)
6)此时下发配置
登录到vManager,点模板
特性模板
新建模板
找到对应型号的模板配置
系统配置(配置系统模板)
为了方便其他vEdge使用该模板,我们选设备指定
配置VPN模板
保存
继续新增模板
然后保存就行了
继续新增模板
VPN512模板,就改这么多,保存就行了
继续新增模板VPN512接口模板
开启接口,指定eth0
模板配置完成
从模板添加设备
VPN0、VPN512的模板
选中对应设备机箱号
点这里
显示检查成功
查看发现设备上线了
vEdge2 零配置上线成功
此时登录到命令行,发现这些配置都下发成功了
总结:vEdge2零配置上线,该设备需要配置
机箱号,序列号,根证书,启用ge0/0接口,别的由vManager下发即可
SDWAN-viptela设备上线配置相关推荐
- 【驱动】GPIO 作为按键时的 设备树 配置
#[驱动]GPIO作为按键时的 设备树 配置 0.设备树 0.0 别名 imx6ul.dtsi 什么作用??? /*************开始/ / { aliases {- gpio0 = &am ...
- sw标准件不能配置_思科设备与华为设备在配置Telnet,有啥不一样呢?
在工作中,可能我们会遇到思科的设备或者华为的,所以,我们需要不断的补充自己的知识,慢慢从小白走向大神之路.今天来看看思科与华为设备在配置Telnet有啥不一样的 思科路由器2901配置Telnet远程 ...
- USB基础---设备、配置、接口、端点和字符串描述符
USB设备用描述符报告他们的属性,一个描述符是一个已定义格式的数据结构体.每个描述符以一个表示描述符长度的字节和一个表示描述符类型的字节开始. USB描述符信息存储在USB设备中,在枚举过程中,USB ...
- 思科设备snmp配置。
1.设置IOS设备在IOS的Enable状态下,敲入 config terminal进入全局配置状态 Cdp run启用CDP snmp-server community gsunion ro \\配 ...
- 华为修改优先级命令_(完整版)华为设备基本配置命令
1 / 9 华为设备基本配置命令计算机命令 ~~~~~~~~~~ PCA login: root :使用 root 用户 password: linux :口令是 linux# shutdown -h ...
- 博图组态显示未分配的设备_S71200CPU做IO共享设备的配置方法【图文】
一.导读 假设有两个PROFINETIO控制系统,每个PROFINET IO控制系统下各带有相应的IO设备,如下图所示: 若此时要求两个IO系统之间可进行数据交换,在不增加PN耦合器的情况下如何进行时 ...
- 两个必备小本领——恢复设备出厂配置、如何配置web方式登陆交换机
转载来源 :两个必备小本领--恢复设备出厂配置.如何配置web方式登陆交换机 :https://mp.weixin.qq.com/s/35EOLUODM8G15C-xXVcVCw 恢复设备出厂配置 1 ...
- H3C--网络设备基本配置与调试
一.实验目的 了解如何访问网络设备的命令行接口 使用命令视图,掌握IP地址的配置方法 明白如何配置远程登录 通过Telnet登录路由器的配置,掌握使用Telnet进行远程连接 通过SSH登录路由器的配 ...
- 华为设备IGMP配置命令
华为设备IGMP配置命令:使能IP组播路由功能是配置一切组播功能的前提.配置组播协议之前,必须先使能IP组播路由功能 使能公网实例的IGMP命令 [Huawei]multicast routing-e ...
最新文章
- PE头里的东西更多。。。越看越恶心了,我都不想看了
- 使用Python将Excel中的数据导入到MySQL
- trust cv的含义
- matlab火箭升空问题,困扰火箭的三大问题终于要解决了!球迷:我都要膨胀了!...
- Android-语言设置流程分析
- SpringCloud创建项目父工程
- 【PostgreSQL-9.6.3】函数(3)--日期和时间函数
- 剑指offer面试题53 - II. 0~n-1中缺失的数字(二分查找)
- 一阶梯度法、二阶段梯度法、牛顿法
- 共聚焦扫描显微镜的工作原理
- 如何用html把图片做成动画的软件,如何用HTML做动画?
- shell常见的语句结构_wuli大世界_新浪博客
- vue form表单验证清除
- 为什么深圳成指关注度远远小于上证指数?
- 企业邮箱如何发送国外邮件?2021知名企业邮箱网站排名
- 第六章 深入理解Magento – 高级Magento模型(EAV)
- ASEMI代理MC34PF3001A7EP原装现货NXP车规级MC34PF3001A7EP
- ipv6默认网关怎么打开。有偿。
- matlab 电路频率响应_2020年中青杯全国大学生数学建模竞赛——A题 集成电路通道布线...
- [电磁场AnsysMaxell仿真] 从一些简单的操作开始