SDWAN-viptela设备上线配置

注意：vEdge上线需要类似授权的东西，要在官网申请，因此如果没有，此实验无法实现

环境说明

vbond，vmanager，vsmart，vedge设备默认用户名密码均为admin

ISP配置为DHCP Server为vEdge2分配IP地址，且分配DNS地址192.168.64.30，用于后续解析ztp.viptela.com

ZTP设备用于此实验中vEdge2零配置上线

ISP所有接口IP地址都配置为254

注意：VPN 0 用来vmanage和vedge、vbond、vsmart之间通信

VPN 512用来管理设备

vEdge设备的ge0/0接口需要绑定VPN0 通信，eth0接口绑定VPN512管理设备（必须这样）

配置完成后需要commit提交，否则不生效

1、设备基础配置

vManager配置

配置用户名，system-ip类似于router-id，用于标识设备，site-id是站点id，organization-name需要所有设备配置一致，且需要到官网注册，并需要指定vbond的IP地址，VPN 0绑定eth0接口，开启tunnel接口，配置默认路由，且启用接口

 

vBond配置

需要指定自己为vbond，且只作为vbond使用，其他配置和vmanager类似，且需要封装ipsec

vSmart配置

 ​​​​​​​

 

 测试连通性 

 ISP设备配置

 

 2、设备认证

这里利用vManager来签名和发布证书

2.1  登录到vManager设备生成根证书

进入到这个视图vshell，pwd查看当前目录

 生成根证书，ls-l查看，显示成功了

 openssl req -x509 -new -nodes -key ROOTCA.key -sha256 -days 1024 -subj "/C=CN/ST=HB/L=WH/O=xmdlz/CN=ca.vmanage" -out ROOTCA.pem

 2.2 安装根证书

vManager，vBond，vSmart ，vEdge1都需要先卸载设备默认的根证书，然后安装此根证书

vManager卸载并安装

vBond卸载并安装，

注意：由于根证书是在vmanager设备生成的，需要先下载到vbond（vsmart，vedge同样），但此版本显示失败，和配置无关，因此后续所有的文件传输都通过xftp进行传输

 将vManager的根证书下载到本地电脑，然后上传到vbond的home/admin/下（
后续vManager，vBond，vSmart vEdge1不在演示）

 

命令行查看

安装

vSmart卸载并安装

 查看安装的根证书，重点检查标记这里有没有问题

 2.3 产生证书请求（个人证书）

 vManager配置

 这里查看

vBond配置

 vSmart配置

在vManager查看个人证书请求（那三个csr文件就是）

 2.4 在vManager颁发证书

openssl x509 -req -in vmanage.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vmanage.crt -days 500 -sha256
openssl x509 -req -in vBond.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vbond.crt -days 500 -sha256
openssl x509 -req -in vSmart.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out vsmart.crt -days 500 -sha256

注意：in后面跟的vsmart.csr要和个人证书的名字完全一致，包括大小写，由于上面我设置的vmanage是小写，vBond.csr和vSmart.csr是大写,所以这么写

 证书颁发完成后，需要把证书文件上传到各自设备并安装（由于当前证书在vManager设备上，通过xftp将各自的个人证书传到设备，然后安装，如：vbond只需要安装vbond的个人证书）

2.5 安装个人证书

 

查看 安装的个人证书

 

 3、登录到vManager的web操作界面

3.1 添加设备上线

 

更改了这些配置

 点这里

点这里

添加vBond

 

添加vSmart

 

 查看状态

 注意：如果后续登陆不到vManager设备的web，但是能ping通，可能是证书有问题，需要登录到

vManager的命令行界面，将vManager的个人证书下载到本地，安装到电脑上，然后就可以了登录WEB了

将证书给推给vBond

 

 此时设备上线了，但是此时设备还没被纳管，先不管

查看 

这里也查一下

 

 4、配置vEdge上线（vEdge1正常上线，vEdge2零配置上线）

4.1配置vEdge1上线

基础配置

 

 

配置vEdge1根证书（和vbond一样，先卸载默认根证书，然后把根证书从vsmart拉到本地，从本地上传到vEdge1）

 然后需要在vManager上传vDdge白名单（类似授权文件，需要到cisco官网申请，这里不介绍了）

选中文件，此文件和Organization Name的名称是一致的

 然后就能看到

 然后到vEdge1，发送这条命令，vbond会对vEdge1进行认证

 这个号要和授权这里一致 

这里需要注意，如果vEdge设备不能正常上线，查看一下这里，发现是不是无效的，

 然后跟着操作

 

 

 

然后再去用设备对应的SN 和Token上线设备就可以了

 这是正常上线后

上线 排错：

1）如果不能上线就需要检查Organization Name是否所有设备配置一致，（Organization Name类似加入到一个域）

2）查看vBond，vManager，vEdge1根证书是否成功安装（show certificate root-ca-cert）

Organization Name字段是否一致

3）vBond，vManager，vEdge1根证书卸载重新安装（request root-cert-chain uninstall）

（request root-cert-chain install /home/admin/ROOTCA.pem）

 4）vEdge1不需要安装个人证书，只需要安装根证书，成功上线后，vBond会下发个人证书，

5）查看基础配置是否正确，网关是否正确，vEdge到vBond，vManager，vSmart设备的连通性，ping测试一下

6）vEdge是否指定了vBond地址，vBond是否指定了自己的IP地址且只作为vBond使用

7）检查vBond设备和vEdge1是否隧道封装且通过ipsec，vManager和vSmart只需要封装隧道，不需要通过ipsec

8）检查vEdge1设备是否VPN0 绑定的ge0/0接口，必须绑定这个

9）检查vBond，vManager，vSmart，vEdge1是否允许了all，sshd，netconf

在Vmanager的web下重新添加设备

排错过后，我这里已经vEdge1设备成功上线

 4.2配置vEdge2零配置上线

注意：

零配置上线并不是不需要配置任何操作，只是vEdge2不需要配置太多操作，但是别的设备需要配置大量操作

环境介绍：

环境中需要有DHCP Server，用于给vEdge2分配IP，网关,DNS

我这里用ISP设备做DHCP Server，DHCP配置如下

且DNS Server的正向解析中要添加ztp.viptela.com和ZTP设备IP的条目配置如下

ZTP设备IP是192.168.64.104

 vEdge设备默认会查找ZTP进行零配置上线，且默认域名就是ztp.viptela.com

开始操作：

先配置ZTP设备，将vBond地址指定为自己，且作为ztp server

此设备VPN 0需要关闭隧道封装（no tunnel-interface） 

 

然后同样的方法，卸载原有根证书，安装根证书

 生成个人证书请求

 然后到vManager设备颁发此证书

vManager查看发现已经存在此请求

这个命令

openssl x509 -req -in ztp.csr -CA ROOTCA.pem -CAkey ROOTCA.key -CAcreateserial -out ztp.crt -days 500 -sha256

 

 发现已经颁发，将个人证书通过xftp传给ZTP设备

ZTP安装个人证书

 然后到vManager

启动引导文件

 

 

 

ZTP设备执行这个命令

要写序列号，机箱号，指定vbond的真实地址，输入org-name，写根证书的路径

 

 添加成功查看

 

 然后到vEdge2，查看信息发现vEdge默认指定的vbond的域名就是zip.viptela.com(所有vEdge都一样)，这是默认配置

 然后配置vEdge2

1）卸载并安装根证书

此环境由于需要下载根证书，因此要配置VPN512，同样的方法，先将根证书上传到本地，然后卸载默认根证书，安装新的根证书

卸载根证书

 

本地电脑连接到vEdge2,将根证书上传到vEdge2并安装

 

2）启用ge0/0接口，默认就是dhcp获取地址，

 

此时能ping通ztp.viptela.com

3)vEdge2配置机箱号序列号

 此时发现vEdge2还没上线（上线SN会变），原因还没有在vManager设备上面给vEdge2下发配置

 5）但查看vEdge2所有配置，发现vbond的地址被推送过来了，（不是手动配置的）

6）此时下发配置

登录到vManager，点模板

特性模板

新建模板

 找到对应型号的模板配置

 系统配置（配置系统模板）

为了方便其他vEdge使用该模板，我们选设备指定

 

 

 

 

 

 

配置VPN模板

 

 

 

 

 

 

 

保存

 

继续新增模板

 

 

 然后保存就行了

 继续新增模板

 VPN512模板，就改这么多，保存就行了 

 

 

继续新增模板VPN512接口模板

 

 开启接口，指定eth0

 

 

 模板配置完成

 从模板添加设备

 ​​​​​​​

 

 VPN0、VPN512的模板

 

 

选中对应设备机箱号

 

 

 

 点这里

 

 显示检查成功

查看发现设备上线了 

 

vEdge2 零配置上线成功

 此时登录到命令行，发现这些配置都下发成功了

 

 总结：vEdge2零配置上线，该设备需要配置

机箱号，序列号，根证书，启用ge0/0接口，别的由vManager下发即可