Automatizované nasadenie WAN Edge smerovačov v Cisco SD-WAN architektúre

Milan Uhrin

Systems Engineer, EC

milan.uhrin@alef.com

S podnikovou WAN sieťou novej generácie sa už postupne zoznamuje aj slovenský trh. Migrácia tradičnej WAN siete na SD-WAN architektúru má svoje nesporné výhody, pred samotným nasadením však treba spoznať samotnú technológiu a jej možnosti. V tomto článku si priblížime proces onboardingu WAN Edge smerovačov do Cisco SD-WAN architektúry, známy aj pod pojmom Automated Deployment, čo v preklade znamená automatické nasadenie smerovačov do SD-WAN architektúry.

Automated Deployment proces automatizuje komplexný proces konfigurácie WAN smerovača s továrenskými nastaveniami po jeho bezpečné priradenie do SD-WAN siete. V tejto časti hovoríme konkrétne o onboardingu. Automatizácia tu však nekončí – vďaka SD-WAN technológii môžete automatizáciu pozdvihnúť na novú úroveň – od pripojenia smerovača do WAN siete až po distribúciu konfigurácie prostredníctvom Vami pripravených konfiguračných šablón vo vManage. Úroveň automatizácie závisí len od Vás.

Automatizované nasadenie môžeme teda rozdeliť na dve hlavné fázy:

  1. Onboarding
  2. Provisioning

V tomto článku si budeme venovať primárne fáze onboardingu smerovačov do SD-WAN architektúry, avšak predstavíme si aj Provisioning fázu. Pred spustením samotného onboarding procesu pracujeme s predpokladom, že sú úspešne absolvované nasledovné kroky prípravnej fázy:

  • Cisco SD-WAN kontrolery (vManage, vBond a vSmart) sú už nasadené aj s validnými certifikátmi
  • WAN Edge smerovač má zabezpečenú IP konektivitu k vBond orchestrátoru a aj k ostatným SD-WAN kontrolerom

Taktiež pracujeme s predpokladom, že máte základnú znalosť o Cisco SD-WAN architektúre - o jej komponentoch a o ich špecifických funkciách. Ak nie, odporúčame vám prečítať si najprv Tech-blog  SD-WAN architektúra k dispozícii v priestoroch ALEF.

Pre ľahšie uchopenie celého konceptu si zadefinujme terminológiu, s ktorou budeme pracovať:

WAN Edge:     všeobecný názov pre SD-WAN smerovač, bez ohľadu na platformu a operačný systém

cEdge:             fyzický WAN Edge smerovač  s operačným systémom IOS XE

                        Cisco ISR1100 /4000 Series , Cisco ASR1000 Series, Cisco ENCS-5000 Series

CSR1000v:      virtuálny WAN Edge smerovač s operačným systémom IOS XE

vEdge:             fyzický WAN Edge smerovač s operačným systémom ViptelaOS. VEDGE-100, VEDGE-1000, VEDGE-2000, VEDGE-5000

vEdgeCloud:    virtuálny WAN Edge smerovač s operačným systémom ViptelaOS

Nasledovný obrázok ilustruje možnosti provisioningu WAN Edge smerovačov do SD-WAN architektúry:
Obrázok 1: Prehľad možností SD-WAN Edge onboardingu

 Za automatické nasadenie WAN Edge smerovačov považujeme Plug-and-Play (PnP) Provisioning a Zero-Touch Provisioning (ZTP). PnP provisioning je proces primárne dedikovaný pre fyzické smerovače s operačným systémom IOS XE. ZTP je proces automatického nasadenia navrhnutého pre fyzické vEdge smerovače.

Virtuálna platforma vEdge smerovačov (vEdgeCloud) má len čiastočnú podporu pre ZTP, dôvod si uvedieme neskôr pri technických detailoch ZTP procesu.

Virtuálna platforma cEdge smerovačov (CSR1000v) má tiež len čiastočnú podporu pre automatický onboarding, ten si tiež uvedieme neskôr pri technických detailoch PnP procesu.

Nakoľko máme k dispozícii 4 možnosti onboardingu / provisioningu pre rôzne druhy platforiem, v tomto článku sme sa primárne zamerali na fyzickú IOS XE platformu a popíšeme si do detailov jej onboarding / provisioning.

cEDGE Automatizované nasadenie

 PnP proces predstavuje jednoduchý a zabezpečený postup  objavenia, priradenia a následný  provisioning  Cisco IOS XE  smerovačov do  Cisco SD-WAN  overlay siete.  Prehľad celého procesu si do detailov vysvetlíme v nasledujúcich krokoch:

  1. Konektivita do WAN siete
  2. Komunikácia s PnP Serverom
  3. Komunikácia s vBond orchestrátorom
  4. Komunikácia s vManage

Krok 1: Konektivita do WAN siete

Cisco WAN Edge smerovač počas bootovania získa základnú IP konfiguráciu z DHCP servera od umožňujúcu jeho komunikácia vo WAN sieti. Získaná konektivita do WAN siete je východiskový stav, z ktorého smerovač začína proces onboardingu do SD-WAN siete. V podnikovej WAN sieti poznáme niekoľko typov transportov – v súvislosti s SD-WAN architektúrou rozlišujeme 3 hlavné skupiny transportu: MPLS, Internet, 3G/LTE. Na pripojenie k PnP serveru použijeme primárne internetové pripojenie. Ak Vám ISP poskytuje konektivitu do internetu použitím DHCP servera, stačí pripojiť WAN Edge smerovač k ISP zariadeniu. Ak tento spôsob pridelenia IP konektivity nie je technicky možný, IP konektivitu si nastavíte manuálne. V tomto prípade je potrebné na WAN Edge smerovač nakonfigurovať verejnú IP adresu s maskou, default route a DNS server.

Krok 2: Komunikácia s PnP Serverom

Cisco WAN Edge smerovač sa pokúsi o spojenie so Cisco PnP serverom. Smerovač vykoná DNS dotaz na meno servera devicehelper.cisco.com a následne použije HTTPS spojenie s PnP serverom na získanie potrebných informácii pre kontaktovanie vBond orchestrátora. Lokalita vBond orchestrátora totiž závisí od dizajnu siete – podnik môže mať nasadený on-premise vBond ako virtuálnu platformu vo svojej sieti, alebo môže využiť Cisco Cloud platformu. Pointa spojenia s PnP serverom je identifikácia IP adresy vBond orchestrátora, pretože to je entita, ktorá autentifikuje WAN Edge smerovač do SD-WAN architektúry. Jedinou úlohou PnP servera je teda nasmerovať WAN smerovač na vBond orchestrátor, v tomto procese PnP server poskytne smerovaču nasledovné údaje:

   

    a.     IP adresa vBond orchestrátora
    b.    Organization-name
    c.     Typ zabezpečeného tunela
    d.    Port, na ktorom sa vytvorí tunel
    e.     Root-CA certifikát (nepovinný údaj)

Tieto údaje je potrebné manuálne nastaviť na PnP portály, na stránke https://software.cisco.com tento portál nájdete pod názvom Plug and Play Connect. Bond orchestrátor používa samozrejme v reálnom nasadení verejnú IP adresu, nakoľko je to IP adresa, ktorá musí byť dosiahnuteľná WAN Edge smerovačom. Ďalej PnP portál poskytuje informáciu WAN Edge smerovaču do akej organizácie má byť zaradený prostredníctvom informácie Organization-name, jedná sa napríklad o názov podniku. WAN Edge smerovač získa aj inštrukcie aký protokol a port bude použitý na zabezpečenú komunikáciu s vBond orchestrátorom.

Na nasledovnom printscreene z CLI WAN Edge smerovača vidíme detail procesu

-          WAN Edge smerovač sa snaží kontaktovať PnP server
-          Po úspešnom DNS preklade mena devicehelper.cisco.com WAN Edge smerovač posiela Hello request na PnP server a snaží sa získať informácie o Organization-name / IP adresa vBond orchestrátora / Port, na ktorom sa následne vytvorí tunel
-          PnP server posiela požadované informácie WAN Edge smerovaču
-          WAN Edge smerovač začína komunikáciu na vBond

Súčasťou tohto kroku je zároveň aj výmena informácii týkajúcich sa certifikátov. V rámci onboardingu WAN Edge smerovačov máte na výber tri možnosti – Symantec/DigiCert, vlastné Enterprise CA certifikáty, alebo môžete využiť natívnu podporu certifikátov Cisco PKI.

V prípade, že sa rozhodnete pre vlastnú certifikačnú autoritu, máte k dispozícii možnosť uploadnuť Root CA priamo v PnP portály. Ak vám vaša firemná politika umožňuje použiť natívnu Cisco SD-WAN certifikačnú autoritu, nemusíte sa zaoberať certifikátmi v rámci onboarding procesu, výmena certifikátov je plne automatizovaná.

Obrázok 2: IOS XE onboarding – PnP proces

Krok 3: Komunikácia s vBond orchestrátorom

 Počas bootovania sa WAN Edge smerovač pokúša kontaktovať vBond orchestrátor za účelom integrácie do Cisco SD-WAN siete. Lokalizovať vBond môže WAN Edge smerovač automatizovaným procesom prostredníctvom PnP procesu, prípadne je možné cez CLI manuálne nakonfigurovať IP adresu vBondu.

Po vytvorení dočasného DTLS tunela s vBOND orchestrátorom sa WAN Edge smerovač musí autentifikovať na dvoch úrovniach:
-          Certifikáty
-          Whitelist

Certifikát
Unikátna identita WAN Edge smerovačov je zabezpečená prostredníctvom chassis ID a certifikačným serial number. Certifikát HW platformy Cisco IOS-XE smerovačov je uložený v on-board SUDI chipe, ktorý je nainštalovaný počas výrobného procesu. Týmto certifikátom následne WAN Edge smerovač preukáže svoju autenticitu v rámci Cisco SD-WAN siete.

Whitelist
Cisco SD-WAN architektúra okrem identity založenej na certifikátoch používa tzv. whitelist model, čo znamená, že WAN Edge smerovače ešte predtým, ako sa pridajú do SD-WAN siete, musia byť povolené a rozpoznateľné SD-WAN kontrolermi. Tento model funguje na princípe manuálneho asociovania SD-WAN Edge smerovačov na vBond orchestrátor priamo v PnP portály. Následne je potrebné tento whitelist  smerovačov distribuovať na vBond. Máme k dispozícii dve možnosti:

-          Automatizovaná synchronizácia whitelistu priamo z PnP do vManage prostredníctvom zabezpečeného SSL spojenia cez REST API.
-          Manuálne vygenerovanie provisioning file v PnP portály, ktorý je treba importovať do vManage.

vManage následne automaticky rozdistribuuje zoznam smerovačov, ktoré disponujú oprávnením pridať sa do SD-WAN siete medzi ostatné kontrolery (vBond a vSmart). Na nasledujúcich printscreenoch si zobrazíme proces distribúcie zoznamu WAN Edge smerovačov z PnP portálu prostredníctvom vManage do vBondu.

  1. Overíme asociáciu WAN Edge smerovača s vBond profilom v PnP portály

2. Spustenie synchronizácie PnP portálu s vManage / vBond / vSmart kontrolermi

3. Distribúcia zoznamu WAN Edge smerovačov na kontrolery  

Krok 4: Komunikácia s vManage

Po vybudovaní DTLS tunela medzi WAN Edge smerovačom a vManage sa onboarding preklopí do poslednej fázy. Jedná sa o provisioning fázu, v ktorej sa predpripravená konfigurácia vo vManage asociuje s konkrétnym WAN Edge smerovačom.

Samotný provisioning prebieha v nasledovných krokoch:

  1. Skontrolujeme si, či sa WAN Edge smerovač nachádza vo WAN Edge zozname smerovačov vo vManage

 2. Zvolíme si predpripravenú šablónu a naviažeme ju na dedikovaný WAN Edge smerovač

 3. Vyberieme si zo zoznamu Serial Number nášho WAN Edge smerovača a vytvoríme asociáciu so šablónou

 4. V tomto kroku máme možnosť editovať konfiguráciu uloženú v šablóne

 5. V závislosti od typu vytvorenej šablóny je potrebné nakonfigurovať požadované parametre smerovača

 6. vManage asociuje šablónu s WAN Edge smerovačom a čaká na nabootovanie smerovača

 7. Súčasťou onboardingu je aj update softvéru na požadovanú verziu zadefinovanú vo vManage

8. Po 10-15 minútach bootovania si môžete skontrolovať úspešný provisioning – prevzatie konfigurácie z vManage šablóny do WAN Edge smerovača

9. Na záver už len kontrola WAN Edge smerovača vo vManage dashboarde – smerovač má Full WAN konektivitu a kontrolné DTLS tunely sú v stave up.

V prípade akéhokoľvek zlyhania automatického procesu v niektorom zo spomenutých krokov, máme k dispozícii aj plán B – Bootstrap proces pre IOS XE smerovače a Manual proces pre vEdge smerovače.

V prípade záujmu Vám predstavíme celý proces onboardingu / provisioningu u nás v Alefe na našom SD-WAN DEMO labe. Momentálne je možné v labe otestovať nasledovné funkcionality:

  • Nasadenie vEdge / cEdge smerovača – HW platforma
  • Nasadenie vEdge / cEdge smerovača – virtuálna platforma
  • Konfigurácia aplikačných politík (AAR – Application Aware Routing)
  • Simulácia WAN liniek prostredníctvom WANem nástroja - sledovať zmeny správania WAN siete na základe zmien parametrov WAN liniek Packet Loss /Jitter / Delay
  • Rôzne scenáre zákazníckych konfigurácii (Templates, Data & Control Policy)
  • Simulácia zákazníckych nasadení
  • PoC (Proof of Concept) - overenie funkcionalít pred samotným nasadením u zákazníka

 V priebehu nasledujúcich mesiacov plánujeme rozšíriť SD-WAN LAB aj o integráciu s našimi ďalšími testovacími prostrediami SD-Access a ACI. Celé testovacie prostredie plánujeme v ALEF-e využívať počas kompetenčných centier (KC), ale aj iných technicko-marketingových prezentácií.

Radi Vás u nás privítame a ponúkame Vám možnosť vykonať PoC testovanie tejto novej architektúry v priestoroch spoločnosti ALEF.  

 kontaktujte nás