(Bài viết nguyên văn bởi Lê Hồng Phúc - Kỹ thuật VnPro)
Hôm nay Phúc có dịp thử nghiệm với file cài đặt OVA của bài thi lab CCIE Enterprise. Sơ đồ khá là quen thuộc, gồm có 1 văn phòng chính headquarter, 4 chi nhánh branch, một trung tâm dữ liệu datacenter và một site trên cloud được đặt tên là Iaas. Các branch, datacanter, iaas, heaquater kết nối với nhau thông qua hai đường transport đó là 2 đường internet. Các controller thì được đặt trong datacenter của enterprise. Phiên bản SDWAN đang được dùng là version 18.4.3 (version này không hỗ trợ multicloud). Giữa các chi nhánh, Datacenter, HQ, IasS chạy BGP. Hiên tại vManage chưa có gì và username, password là mặc định: admin, admin. Các wan edge chưa tham gia vào SDWAN fabric. Có khả năng chúng ta phải dựng SDWAN controller. Mặc dù vậy, chúng ta chưa biết họ sẽ mô phỏng các máy chủ ZTP/PnP như thế nào trong môi trường ảo. Do đó, Phúc vẫn nghiêng về khả năng họ sẽ dựng sẵn các SDWAN Controller.
Tiếp theo, trong sơ đồ có Cisco ISE. Cisco ISE này sẽ được dùng cho các dịch vụ về danh hiệu Identity. Cisco ISE cũng có thể đóng vai trò là Radius Server trong mô hình về 802.1X. Mình cho rằng là bài thi sẽ không kiểm tra phần ISE Profiling. Nhưng TACACS, RADIUS 802.1X là hoàn toàn fair-play. ISE cũng có thể làm vai trò SGT server, dùng để gán các tag trong kiến trúc SDAccess. Nếu vậy, chắc chắn Cisco ISE đã được tích hợp với DNA Center thông qua ERS API.
Về SDWAN, mình cho rằng các câu hỏi về OMP, Control Policy, cách redistribution giữa OSPF/BGP với OMP sẽ được hỏi rất nhiều. OMP là giao thức định tuyến trên mạng Overlay. Chắc chắn phần tương tác giữa OMP với OSPF/BGP sẽ được khảo sát kỹ. Các anh chị chú ý phần này nếu có ý định tham gia luyện lab CCIE EI.
Trong SDWAN, vấn đề xác thực giữa các thành phần SDWAN Controller có dùng chữ ký số digital certificates. Hiện tại do vManage là bản trống nên chưa biết CA server sẽ được triển khai ở đâu trong kiến trúc PKI. Có thể vManage sẽ đóng vai trò là CA server. Hoặc có thể họ sẽ dựng một Windows Domain ở đâu đó làm CA server. Hoặc có thể họ sẽ cho dùng các self-signed certificates.
Phần Switching thấy hỏi tập trung ở site HQ, lý do là chúng ta thấy có vài L3 Switches. Chắc chắn những công nghệ L2 phổ biến như Spanning Tree, EtherChanne hoặc các công nghệ dự phòng gateway như HSRP/VRRP là các chủ đề ưa thích cho quá trình kiểm tra.
VxLAN đã được dùng trong mạng doanh nghiệp với việc tích hợp trong kiến trúc SD-Access. Trong mô hình chúng ta thấy có DNA Center.
Về phần Automation, các máy host họ dùng là Linux. Điều này khiến chúng ta phỏng đoán họ sẽ dùng các máy Linux này như môi trường Developer để chúng ta khai thác REST API. Câu hỏi đặt ra là trong sơ dồ chúng ta có vManage, DNA Center. Câu hỏi về khai thác API có thể xoáy vào khai thác trên DNA Center hoặc vManage của SDWAN. Có thể họ chỉ cần chúng ta viết một đoạn Python script nhỏ để truy xuất tình trạng hiện tại của các WanEdge? Hoặc họ có thể muốn chúng ta gọi REST API để POST thông số của một node nào đó trong hệ thống mạng?
Theo mình để hoàn thành được bài thi này cần đủ các kiến thức như: Encor, SDWAN, DEVNET, Advance Routing.
Vài dòng cho cộng đồng, khi nào có thêm thông tin gì mới, Phúc sẽ cập nhật cho các anh.
Hôm nay Phúc có dịp thử nghiệm với file cài đặt OVA của bài thi lab CCIE Enterprise. Sơ đồ khá là quen thuộc, gồm có 1 văn phòng chính headquarter, 4 chi nhánh branch, một trung tâm dữ liệu datacenter và một site trên cloud được đặt tên là Iaas. Các branch, datacanter, iaas, heaquater kết nối với nhau thông qua hai đường transport đó là 2 đường internet. Các controller thì được đặt trong datacenter của enterprise. Phiên bản SDWAN đang được dùng là version 18.4.3 (version này không hỗ trợ multicloud). Giữa các chi nhánh, Datacenter, HQ, IasS chạy BGP. Hiên tại vManage chưa có gì và username, password là mặc định: admin, admin. Các wan edge chưa tham gia vào SDWAN fabric. Có khả năng chúng ta phải dựng SDWAN controller. Mặc dù vậy, chúng ta chưa biết họ sẽ mô phỏng các máy chủ ZTP/PnP như thế nào trong môi trường ảo. Do đó, Phúc vẫn nghiêng về khả năng họ sẽ dựng sẵn các SDWAN Controller.
Tiếp theo, trong sơ đồ có Cisco ISE. Cisco ISE này sẽ được dùng cho các dịch vụ về danh hiệu Identity. Cisco ISE cũng có thể đóng vai trò là Radius Server trong mô hình về 802.1X. Mình cho rằng là bài thi sẽ không kiểm tra phần ISE Profiling. Nhưng TACACS, RADIUS 802.1X là hoàn toàn fair-play. ISE cũng có thể làm vai trò SGT server, dùng để gán các tag trong kiến trúc SDAccess. Nếu vậy, chắc chắn Cisco ISE đã được tích hợp với DNA Center thông qua ERS API.
Về SDWAN, mình cho rằng các câu hỏi về OMP, Control Policy, cách redistribution giữa OSPF/BGP với OMP sẽ được hỏi rất nhiều. OMP là giao thức định tuyến trên mạng Overlay. Chắc chắn phần tương tác giữa OMP với OSPF/BGP sẽ được khảo sát kỹ. Các anh chị chú ý phần này nếu có ý định tham gia luyện lab CCIE EI.
Trong SDWAN, vấn đề xác thực giữa các thành phần SDWAN Controller có dùng chữ ký số digital certificates. Hiện tại do vManage là bản trống nên chưa biết CA server sẽ được triển khai ở đâu trong kiến trúc PKI. Có thể vManage sẽ đóng vai trò là CA server. Hoặc có thể họ sẽ dựng một Windows Domain ở đâu đó làm CA server. Hoặc có thể họ sẽ cho dùng các self-signed certificates.
Phần Switching thấy hỏi tập trung ở site HQ, lý do là chúng ta thấy có vài L3 Switches. Chắc chắn những công nghệ L2 phổ biến như Spanning Tree, EtherChanne hoặc các công nghệ dự phòng gateway như HSRP/VRRP là các chủ đề ưa thích cho quá trình kiểm tra.
VxLAN đã được dùng trong mạng doanh nghiệp với việc tích hợp trong kiến trúc SD-Access. Trong mô hình chúng ta thấy có DNA Center.
Về phần Automation, các máy host họ dùng là Linux. Điều này khiến chúng ta phỏng đoán họ sẽ dùng các máy Linux này như môi trường Developer để chúng ta khai thác REST API. Câu hỏi đặt ra là trong sơ dồ chúng ta có vManage, DNA Center. Câu hỏi về khai thác API có thể xoáy vào khai thác trên DNA Center hoặc vManage của SDWAN. Có thể họ chỉ cần chúng ta viết một đoạn Python script nhỏ để truy xuất tình trạng hiện tại của các WanEdge? Hoặc họ có thể muốn chúng ta gọi REST API để POST thông số của một node nào đó trong hệ thống mạng?
Theo mình để hoàn thành được bài thi này cần đủ các kiến thức như: Encor, SDWAN, DEVNET, Advance Routing.
Vài dòng cho cộng đồng, khi nào có thêm thông tin gì mới, Phúc sẽ cập nhật cho các anh.