Citrix SD-WAN für Heimbüros POC-Leitfaden

Übersicht

Dieser Proof of Concept (PoC) -Leitfaden soll Ihnen helfen, eine Citrix SD-WAN Home Office-Umgebung mithilfe des Citrix SD-WAN Orchestrator-Dienstes als Verwaltungstool schnell bereitzustellen. Die Leitfaden zu Designentscheidungen für Citrix SD-WAN Home Office skizzierten WAN-Topologie-Entscheidungen zur Integration von Citrix SD-WAN in ein Home Office.

Überprüfung des folgenden Anwendungsfalls für die Option ISP + LTE, die eine primäre WAN-Verbindung enthält, die von einem ISP bereitgestellt wird. Es wird um einen LTE-Dienst erweitert, um Überlegungen zur Umsetzung zu überprüfen.

ISP + LTE-Home-Office-Topologie

In diesem Anwendungsfall (ISP+LTE) muss ein Administrator zunächst validieren, ob das angestrebte Home Office-Netzwerk die folgenden Voraussetzungen erfüllt:

  • Haben Sie eine bestehende Internetverbindung, die von ihrem lokalen ISP bereitgestellt wird, und betreiben Sie sie.
  • Der ISP hat einen verwalteten Router bereitgestellt, der das bestehende “Heimnetzwerk” bedient. Der ISP Router muss über einen verfügbaren Ethernet-Port verfügen. Es fungiert auch als DHCP-Server zur Zuweisung von IP und DNS-Adressinformationen an den Client-Host, der sie über Ethernet anfordert. Die Schnittstelle 1/2 auf dem SD-WAN-Gerät ist als DHCP-Client aktiviert.
  • Eine aktivierte LTE-SIM-Karte (entweder direkt vom Endbenutzer gekauft oder vom Admin oder einem Drittanbieter bereitgestellt).

Die Bestätigung, dass die Voraussetzungen verfügbar sind, bevor der Benutzer an Aktivitäten vor Ort einbindet, trägt dazu bei, eine schnelle optimierte Bereitstellung zu gewährleisten, die auf Tausende von Endpunkten skaliert werden kann.

Die Auswahl der geeigneten SD-WAN-Plattform, die das gewünschte Design für das Home Office unterstützt, ist von entscheidender Bedeutung. Wenn das Design beispielsweise skizziert, dass ein LTE-Dienst als WAN-Verbindung verwendet wird, würde die Auswahl einer SD-WAN-Plattform mit einem integrierten LTE-Modem (z. B. 110-LTE-SE, 210-LTE-SE) dazu beitragen, die Komponenten vor Ort zu reduzieren und die Komplexität des Installateurs zu verringern.

Die Designoptionen (Single ISP, Dual ISP, ISP+LTE, ISP+LTE Standby, Dual LTE), die zuvor in dieser Dokumentation beschrieben wurden, werden von den Plattformen Citrix 110-LTE-SE und 210-LTE-SE vollständig unterstützt. Jede SD-WAN-Plattform hat leicht unterschiedliche Hardwarespezifikationen, was einige Abweichungen beim unterstützten Design ermöglicht.

Wenn Sie beispielsweise eine 210 Standard Edition-Plattform verwenden, ist das System mit integrierter Bypass-Hardware ausgestattet, mit der das SD-WAN im Inlinemodus bereitgestellt werden kann. Im Falle eines Ausfalls von SD-WAN-Hardware kann der Heimarbeiter die Internetverbindung fortgesetzt haben, während das SD-WAN über die Bypass-Schnittstellen an die Unterlage oder das Heimnetzwerk versagt.

Alle Editionen von Citrix SD-WAN arbeiten mit Citrix Secure Internet Access zusammen, um Hausarbeitern sicheren Zugriff auf Web- und SaaS-Anwendungen zu ermöglichen. Alternativ ist das System durch Auswahl von Advanced Edition (unterstützt auf den Plattformen 210, 410 und 1100) mit Edge-Sicherheitsfunktionen (wie IDS/IPS, Webfilterung, Malware-Schutz) ausgestattet. Diese Funktionen können dazu beitragen, das “Remote Work Network” zu sichern und ein lokales Breakout für ausgewählten Internetverkehr zu ermöglichen.

Eine weitere Option wäre die Verwendung einer 1100-SE-Plattform mit verfügbaren PoE+-Schnittstellen, die die Verwendung von Ethernet-Geräten wie einem VoIP-Tischtelefon ermöglicht. Die Verwendung eines PoE-Injektors kann jedoch die Verwendung von SD-WAN-Geräten mit niedrigerem Ende, wie einem 110-SE, für die Anwendungsfälle im Home Office ermöglichen, die PoE erfordern. Zusätzlich zu den Bypass-Schnittstellen können die 1100-Plattformen einen VNF eines Drittanbieters wie eine Palo Alto- oder Checkpoint-Firewall hosten.

Einige andere erwähnenswerte Funktionen, um den Fokus auf die richtige Plattform für das Design des Home Worker-Netzwerks einzugrenzen, ist die 110-Plattform, die Wi-Fi-Ready kommt. Nach einem Software-Upgrade auf R11.3.x kann es als drahtloser Zugangspunkt für das “Remote Work Network” fungieren. (Diese Funktionalität ist nur für die 110-LTE-Wi-Fi-Se-Plattform verfügbar). Die 110-Plattform unterstützt auch ein externes USB-LTE-Modem (auch für die 210 und 1100-Plattformen verfügbar). Es kann verwendet werden, um den Dual LTE-Anwendungsfall zu unterstützen oder eine dritte WAN-Option für den Anwendungsfall ISP+LTE hinzuzufügen.

Verwenden des Citrix SD-WAN Orchestrator-Dienstes

SD-WAN-Administratoren verwalten und begrenzen ihren unterstützten Bereitstellungsfall zentral über die Citrix SD-WAN Orchestrator-Site-Profile und Vorlagen. Die Begrenzung der Home Office-Bereitstellungsszenarien erleichtert die Verwaltung großer Bereitstellungen und ermöglicht schnelle Änderungen an mehreren Standorten, um zukünftige Änderungen zu berücksichtigen. Es gibt einige zusätzliche administrative Überlegungen, die beim Erstellen des Home Office-Standorts im Citrix SD-WAN Orchestrator-Dienst berücksichtigt werden müssen, zum Beispiel:

  • Welche Methode der Zero Touch Deployment wird zur Bereitstellung der Remote-Geräte verwendet?
  • Wie setzt das Gerät nach der Bereitstellung der Appliance die Kommunikation mit dem Citrix SD-WAN Orchestrator-Dienst fort, um weitere Konfigurationsupdates und die Datenerfassung zu erhalten?
  • Wie können wir die fortgesetzte Konnektivität zu Cloud Services in verschiedenen Ausfallszenarien berücksichtigen?
  • Wenn die Home-Office-Bereitstellung WAN Delivery Services verwendet, z. B. Citrix Secure Internet Access oder Citrix Cloud Direct, muss eine einzelne Routingdomäne verwendet werden. Mehrere Routingdomänen werden derzeit nicht für die Verwendung in Verbindung mit WAN-Bereitstellungsdiensten unterstützt.

Wir heben einige davon hervor, während wir die Konfiguration durchlaufen.

Site-Profil erstellen

Zum Einrichten von Standortprofilen in Orchestrator kann ein Administrator die folgenden Schritte ausführen: (Weitere Informationen finden Sie unter Citrix Orchestrator-Profile).

  1. Erstellen Sie ein neues Site-Profil (indem Sie Alle Sitesauswählen und dann zu Konfiguration > Profile & Vorlagen > Profilenavigieren)
  2. Füllen Sie die Site-Details aus:
    • Name des Standortprofils: HomeOffice (110_ISP+LTE)
    • Geräte-Modell: 110
    • Geräteedition: SE
    • Sub-Modell: LTE-WiFi
    • Site-Rolle: Zweigstelle Sitedetails
  3. Konfigurieren Sie als Nächstes die Verwendung von Interfaces entsprechend dem gewünschten Design und fügen Sie jede erforderliche Schnittstelle hinzu: ISP + LTE
  • Fügen Sie Interface 1/1 für LAN hinzu:
    • Bereitstellungsmodus: Edge (Gateway)
    • Schnittstellen-Typ: LAN
    • Sicherheit: Vertrauenswürdig
    • Wählen Sie Schnittstelle: 1/1 und SSID1 (diese LAN-Schnittstelle definiert die Parameter für die physische Verbindung von End-Host-Geräten zusätzlich zu Geräten, die über die Wi-Fi-SSID verbunden sind)
    • VLAN ID: 0
    • Bereichsdomäne: HomeOffice (Die einzelne Routingdomäne (Default_RoutingDomain) kann für SD-WAN-Bereitstellungen verwendet werden, die nur Home Offices verbinden und keine Verbindung zu einer bestehenden SD-WAN-Site-Bereitstellung herstellen. In dem zuvor in der Dokumentation beschriebenen Szenario kann jedoch zum Hinzufügen von Home Offices zu einer bestehenden Bereitstellung eine neue Routingdomäne eingeführt werden, um sie zu trennen und den Konnektivitätszugriff von Home Office im Rechenzentrumsnetzwerk einzuschränken.) * Firewall-Zone: Default_LAN_Zone Schnittstellen-LAN
  • Fügen Sie Interface 1/2 für WAN hinzu:
    • Bereitstellungsmodus: Edge (Gateway)
    • Schnittstellen-Typ: WAN
    • Sicherheit: Nicht vertrauenswürdig
    • Wählen Sie Interface: 1/2
    • DHCP Client: enabled (Es wird erwartet, dass diese SD-WAN-Schnittstelle mit dem bestehenden Heimnetzwerk von Home Offices, in dem ein Heimrouter als DHCP-Server konfiguriert ist, verkabelt ist und der Schnittstelle 1/2, die als DHCP-Client arbeitet, eine IP-Adresse zugewiesen wird.) * VLAN-ID: 0 * Routing-Bereich: Default_RoutingDomain* Firewall-Zone: Nicht vertrauenswürdige Internet-Zone Schnittstellen WAN]
  • Fügen Sie Interface LTE-1 für WAN hinzu:
    • Bereitstellungsmodus: Edge (Gateway)
    • Schnittstellen-Typ: WAN
    • Sicherheit: Nicht vertrauenswürdig
    • Wählen Sie Schnittstelle: LTE-1
    • VLAN ID: 0
    • DHCP Client: enabled
    • Routingdomäne: Default_RoutingDomain
    • Firewall Zone: Untrusted Internet_Zone Interface LTE
  • Fügen Sie Interface 1/4-MGMT für Zwecke der Geräteverwaltung hinzu:
    • Bereitstellungsmodus: Edge (Gateway)
    • Schnittstellen-Typ: LAN
    • Sicherheit: Vertrauenswürdig
    • Schnittstelle wählen: 1/4-MGMT
    • VLAN ID: 0
    • Routingdomäne: Default_RoutingDomain (Die Konfiguration dieser Verwaltungsschnittstelle ist erforderlich und dient zwei Zwecken:
      1. Ermöglicht fortgesetzte Konnektivität zu Cloud Services, nachdem das Gerät durch Zero-Touch-Bereitstellung bereitgestellt wurde.
      2. Dient als Methode für einen Administrator, um remote auf das lokale Web-Interface des Geräts für die Fehlerbehebung/Überwachung zuzugreifen.

      Unter der Annahme, dass sich der Administrator im Rechenzentrumsnetzwerk befindet, das mit dem SD-WAN auf der Default_RoutingDomain verbunden ist, kann auf das Webinterface des Remote-SD-WAN-Geräts zugegriffen werden, wenn die auf dieser Schnittstelle aktivierte In-Band-Verwaltungsfunktion verwendet wird. Die Konnektivität mit der Mgmt-Schnittstelle durch den Remote-Admin wird über den virtuellen Pfad erreicht. Außerdem wird die Konnektivität zu Cloud Services wie dem Citrix SD-WAN Orchestrator-Dienst durch den lokalen Internet-Breakout (Internet Service) erreicht, der für Default_RoutingDomain aktiviert wird. Falls gewünscht, kann die Internetverbindung alternativ durch das Rechenzentrum zurückgeführt und dort für den Internetzugang ausgebrochen werden. Der Verwaltungsport (1/4) muss nicht für das Webinterface verkabelt werden, und die Funktionen für die Datenabfrage, um auf jeder In-Band-Verwaltungs-fähigen Schnittstelle zu funktionieren.) Verwaltung * Firewall-Zone: Default_LAN_Zone Schnittstellen-Mgmt

Schnittstellen, die die folgenden Konfigurationsanforderungen erfüllen, können für das In-Band-Management verwendet werden:

  • Sicherheit muss auf Vertrauenswürdig festgelegt sein
  • Schnittstellentyp muss LAN sein
  • Ausgewählte IP ist nicht auf Privat festgelegt
  • Identität der IP auf true gesetzt

4.Erstellen Sie als Nächstes neue WAN-Links, die dem gewünschten Design entsprechen:

  • Fügen Sie WAN Link #1 mithilfe der Schnittstelle 1/2 hinzu:
    • Zugangstyp: Öffentliches Internet
    • Name des Internetdienstanbieters (benutzerdefiniert): ISP
    • Internet Kategorie: Internet
    • Linkname: Internet-ISP-1
    • Öffentliche IP-Adresse Auto Learn: ENABLED (Die von MCN/RCN bezeichneten Sites lernen dynamisch die beworbene öffentliche IP-Adresse jeder Zweigstelle mit dieser Funktion kennen, da Zweigknoten die Pfadeinrichtung mit ihrem MCN/RCN versuchen. Bei der Verwendung öffentlicher Internet-Transporte sind für die von MCN/RCN angegebenen Websites nur statische öffentliche IP-Adressen erforderlich.) * Egress Speed: 50 Mbit/s * Ingress Speed: 50 Mbit/s (Die auf WAN-Verbindung #1 definierte Upload- und Download-Geschwindigkeit hängt von der Bandbreitenverfügbarkeit jedes Heimnetzwerks ab. Es wird empfohlen, unter diesen Bandbreitenbeschränkungen zu bleiben und die Verwendung einer gewissen Bandbreite von anderen Haushaltsmitgliedern zu ermöglichen, die diese Verbindung teilen. Die Priorisierung des SD-WAN-Tunnelverkehrs (UDP 4980) auf dem ISP-Router trägt dazu bei, dass SD-WAN die Verwendung dieser Verbindung nicht unterstützt, wenn Konflikte um die Verbindung auftreten. Bei Bedarf können mehrere Standortprofile mit unterschiedlichen WAN-Verbindungen so konfiguriert werden, dass sie einige Abweichungen bei den lokalen Internetbedingungen im Home Office berücksichtigen.) * Virtuelle Schnittstelle: VIF-2-WAN-1 * Virtueller Pfadmodus: Primär WAN Verbindung 1
  • Fügen Sie WAN Link #2 mithilfe der Schnittstelle LTE-1 hinzu:
    • Zugangstyp: Öffentliches Internet
    • Name des Internetdienstanbieters (benutzerdefiniert): LTESP
    • Internet Kategorie: LTE
    • Linkname: LTE-LTE-SP-2
    • Öffentliche IP-Adresse Auto Learn: ENABLED
    • Egress-Geschwindigkeit: 20 Mbit/s
    • Einlaufgeschwindigkeit: 20 Mbit/s (Die auf WAN-Link #2 definierte Upload- und Download-Geschwindigkeit hängt vom LTE-Anbieter ab. Ein Admin kann jedoch die Nutzung einschränken, indem er geringere Bandbreitengeschwindigkeiten eingestellt hat. Oder kann mit erwarteten Raten festgelegt und Funktionen wie Adaptive Bandwidth Detection konfiguriert werden.) * Virtuelle Schnittstelle: VIF-3-WAN-2 * Virtueller Pfadmodus: Primär * Aktive MTU erkennen: deaktiviert * Metering aktivieren: deaktiviert * Standby-Modus: Last-Resort (WAN-Links aktiviert für Standby haben zwei Betriebsarten: Last-Resort oder On-Demand. Last-Resort-Standby-Links werden nur aktiv, wenn alle Nicht-Standby-Links nicht verfügbar oder deaktiviert sind. On-Demand-Standby-Links werden unter ähnlichen Umständen aktiv, können aber auch aktiv werden, wenn die verfügbare Bandbreite des virtuellen Pfads größer ist als das konfigurierte On-Demand-Bandbreitenlimit. In beiden Standby-Modi gibt es immer noch Datennutzung auf dem Link, wenn er nicht aktiv ist. Die Menge der Datennutzung kann mit der Häufigkeit von Heartbeat-Intervallen gesteuert werden. Beispielsweise kann eine Standby-WAN-Verbindung in einem Status für inaktive Verbindungen 150 MB bis 270 MB Daten verbrauchen, wobei ein Heartbeat-Intervall von 1 Sekunde nur für den Sondenverkehr konfiguriert ist.) * Aktives Heartbeat-Intervall: 1 * Standby-Heartbeat-Intervall: 1 WAN Verbindung 2

Websites stapelweise erstellen

Sobald das Site-Profil erstellt wurde, kann es zum Stapeln von mehreren Home-Office-Sites verwendet werden. Um mithilfe des Citrix SD-WAN Orchestrator-Dienstes neue Sites in Batch hinzuzufügen, kann ein Administrator Folgendes ausführen: (Weitere Informationen finden Sie unter Orchestrator-Netzwerkkonfiguration)

  1. Websites stapeln (indem Sie Alle Sites auswählen, dann zu Konfiguration > Netzwerkkonfiguration navigieren und auf die Schaltfläche Websites hinzufügen Batch hinzufügen klicken)
  2. Geben Sie die Anzahl der Websites ein, die im Stapel erstellt werden sollen, und klicken Sie
  3. Wählen Sie das Site-Profil aus, das global mit den neuen Sites verknüpft werden soll, und geben Sie die eindeutigen Attribute ein, um jede Site zu identifizieren (z. B. Instanzenitename, Siteadresse) Batch Website erstellen

Grundeinstellungen für die Sitekonfiguration

Wenn die erstellten Websites und die jeweils auf das gewünschte Site-Profil verweisen, ermöglicht das Klicken auf jede erstellte Site eine weitere Konfiguration, die die Eingabe eindeutiger Attribute ermöglicht, die für jede Site spezifisch sind.

  1. Standortdetails: Hier können Websites einer bestimmten Region zugeordnet werden, wenn sie in einer Architektur mit mehreren Regionen bereitgestellt werden, oder sie in der Standardregion belassen, wenn sie in der Standardbereitstellung für eine Region bereitgestellt werden. Batch Site-Details
  2. Gerätedetails: Hier wird eine eindeutige Seriennummereingegeben, insbesondere die Seriennummer des an die Office-Site gelieferten Geräts. Die Seriennummer wird verwendet, um die Appliance beim Aufruf zu Hause zu authentifizieren und diese spezifische Standortkonfiguration während des Zero-Touch-Bereitstellungsprozesses abzurufen. Details zum Batch-Gerät
  3. Wi-Fi-Details
    • i. Aktivieren Sie Wi-Fi. Konfigurieren Sie die gewünschten Radio- und SSID-Einstellungen für diese Home-Office-Website. Wi-Fi-Details
  4. Schnittstellen:
    • i. Bearbeiten Sie Schnittstelle 1/1 LAN. Jeder Standort muss eindeutig mit einem “Remote Work Network” definiert werden. Wählen Sie die LAN-Schnittstelle aus und geben Sie das Subnetz ein, das für diesen bestimmten Remotestandort zugewiesen werden soll. Die eingegebene primäre IP-Adresse dient als LAN-Gateway-VIP (zum Beispiel 172.17.35.1/29) für dieses Remote-Arbeitsnetzwerk. Batch-Schnittstellen * ii. Bearbeiten Sie Schnittstelle 1/2 WAN. Stellen Sie sicher, dass die WAN-Schnittstelle für den DHCP-Client aktiviert ist, um automatisch eine IP-Adresse vom “Existing Home Network” zu erhalten. Der Vorteil der Verwendung dieser Funktion besteht darin, dass Sie die vorhandenen Subnetze von Heimnetzwerken nicht genau kennen müssen, aber es gibt Abhängigkeiten von der Unterlage, um einen verfügbaren 10/100/1000-Ethernet-Port auf Ihrem vorhandenen Heimrouter/Modem zu haben und sicherzustellen, dass jedes damit verbundene Gerät eine IP-Adresse, DNS und Internet-Konnektivität Stapel WAN 12 * iii. Bearbeiten Sie Schnittstelle LTE-1 WAN. Stellen Sie sicher, dass die LTE-WAN-Schnittstelle für den DHCP-Client aktiviert ist, um automatisch eine IP-Adresse vom LTE-Anbieternetzwerk zu erhalten. Batch LTE * iv. Bearbeiten Sie Schnittstelle 1/4 -MGMT LAN. Jede Site muss eindeutig mit einer Verwaltungs-IP-Adresse definiert werden, die dem Zweck der fortgesetzten Konnektivität zu Cloud Services und dem Webinterface-Zugriff durch den Remote-Administrator über den virtuellen Pfad dient. Geben Sie das Subnetz ein, das für diese spezifische Remote-Site zugewiesen werden soll. Die eingegebene primäre IP-Adresse dient als Management-IP (zum Beispiel 172.17.36.1/32) für dieses Remote-Arbeitsnetzwerk. Batch-Schnittstellen-Mgmt Wählen Sie die InBand-Management-IP (zum Beispiel 172.17.36.1) aus dem Dropdown-Menü aus. Weitere Informationen finden Sie unter Inband-Verwaltung. Management-IPs
  5. WAN-Verbindungen:
    • i. Edit WAN Link #1, zum Beispiel Internet-ISP-1, das Interface 1/2 verwendet: In diesem Beispielszenario verwendet WAN Link #1 ein “Existing Home Network”, das eine gemeinsam genutzte Ressource mit anderen Benutzern im Haushalt (die als Nicht-Arbeiter gelten) handeln kann. In dieser Situation gibt es keine Möglichkeit, dass dem SD-WAN die für die Ausgangs- und Ingress-Tarife konfigurierten Geschwindigkeiten garantiert werden, es sei denn, ein dedizierter Internetdienst wird für den Hausarbeiter verwendet. In einer freigegebenen Leitung können Sie die Funktion “ Adaptive Bandbreitenerkennung “ für diese WAN-Verbindung aktivieren, eine Funktion, die für WAN-Verbindungen entwickelt wurde, die unterschiedliche Bandbreite bieten. Wenn das Gerät aufgrund des streitenden Datenverkehrs einen Verlust auf diesem verfügbaren Pfad erkennt, verwendet das Gerät zuerst die WAN-Verbindung mit einer reduzierten Bandbreitenrate, und nur wenn die verfügbare Bandbreite unter dem konfigurierten Mindestprozentsatz für akzeptable Bandbreite liegt, markiert das Gerät den Pfad als SCHLECHT und versucht Vermeiden Sie es, es zu verwenden (dh verwenden Sie einen anderen verfügbaren Link in gutem Zustand). Sie müssen die Adaptive Bandwidth Detection nicht aktivieren, wenn die Internetquelle nicht gemeinsam genutzt wird und mit der konfigurierten Geschwindigkeit arbeiten kann. Stapel WAN-Link 1 Stapel WAN Link 1 Erweitert * ii. Bearbeiten Sie den WAN-Link #2 (zum Beispiel LTE-ATT-2), der die Schnittstelle LTE-1 verwendet: WAN Link #2 verwendet ein LTE-Netzwerk, das in der Bandbreite variabel ist. Aktivieren Sie die Funktion “ Adaptive Bandwidth Detection “ für diese WAN-Verbindung, die für WAN-Verbindungen entwickelt wurde, die eine unterschiedliche Bandbreite bieten. Wenn das Gerät einen Verlust auf diesem verfügbaren Pfad erkennt, der für drahtlose Transporte typisch ist, verwendet das Gerät zuerst die WAN-Verbindung mit einer reduzierten Bandbreitenrate, und nur wenn die verfügbare Bandbreite unter dem konfigurierten Mindestprozentsatz für akzeptable Bandbreiteliegt, markiert das Gerät den Pfad als SCHLECHT und versucht zu vermeiden, es zu benutzen (d.h. benutze einen anderen verfügbaren Link in gutem Zustand). Stapel WAN-Link 2 Stapel WAN-Link 2 erweitert
  6. Routen: Im Allgemeinen ist die Definition statischer Routen für Home Offices nicht erforderlich. Bei Bedarf würden Sie hier alle statisch definierten Subnetze konfigurieren und auf eine LAN-Gateway-IP ablegen, damit das definierte Subnetz an Peer-SD-WAN-Geräte beworben wird.
  7. Zusammenfassung: Die zusammenfassenden Details der Website können überprüft und gespeichertwerden. Wenn die Sitekonfiguration nicht gespeichert wird, gehen die Eingaben verloren, wenn Sie sich von den Grundeinstellungen der Site entfernen.

Erweiterte Sitekonfiguration

Wenn die Basis-Site-Konfiguration abgeschlossen ist, müssen wir sicherstellen, dass einige zusätzliche Konfigurationselemente vorhanden sind, damit die on-premises Geräte nach der Installation und Aktivierung der Installation über die Zero-Touch-Bereitstellung eine fortgesetzte Konnektivität aufweisen können. Dies kann bei globaler Konfiguration mit allen ausgewählten Sites unter Konfiguration > Bereitstellungsdienste > Dienste und Bandbreite erfolgen. Der Internetdienst kann aktiviert werden, indem ein Bandbreitenprozentsatz für einen WAN-Link-Typ zugewiesen wird. Durch die Zuweisung eines Prozentsatzes (z. B. 30%) für “Internet Link” -Typen wird der Internet-Breakout automatisch für alle Websites konfiguriert, die mit diesem WAN-Link-Zugriffstyp konfiguriert sind. Service und Bandbreite Wenn die Sitekonfiguration für diesen Zugriffstyp (z. B. öffentliches Internet) konfiguriert ist und die Sicherheitseinstellung für die zugehörige Schnittstelle auf Nicht vertrauenswürdigfestgelegt ist, erstellt das System außerdem automatisch eine Dynamic NAT-Richtlinie, um ein lokales Internetbreakout zu ermöglichen für die Website.

Home 110 LTE WAN

Home 110 LTE WAN

Wenn die Schnittstelle mit der Sicherheitseinstellung als Vertrauenswürdig konfiguriert ist, muss die Dynamic NAT-Richtlinie manuell auf der Seite Configuration > Advanced Settings > NAT der Site für die gewünschte Routingdomäne erstellt werden. Erweiterte NAT Wenn das on-premises Gerät als DHCP-Server für das LAN-Subnetz des Home Worker dienen muss, kann die Funktion unter Konfiguration > Erweiterte Einstellungen > DHCPaktiviert werden. Fortgeschrittenes DCHP

Bereitstellen der Konfiguration

Da die standortspezifischen Details abgeschlossen sind, kann der SD-WAN-Administrator die Konfiguration durch das zentrale Verwaltungstool übertragen. Die Bereitstellung der neuesten Konfiguration dient zwei Zwecken; 1) Die vorhandenen SD-WAN-Geräte (zum Beispiel MCN) werden vorbereitet, um den eingehenden virtuellen Pfad-Verbindungsversuch vom neuen Remote-Gerät aus zu ermöglichen, und 2) Die on-premises Gerätepakete werden im Null-Touch-Bereitstellungs-Cloud Service zur Verfügung gestellt zu den on-premises Geräten, die während des Zero-Touch-Bereitstellungsprozesses nach Hause anrufen.

Um die Konfiguration bereitzustellen, stellen Sie sicher, dass Alle Sites ausgewählt ist, und navigieren Sie dann zur Startseite von Konfiguration > Netzwerkkonfiguration. Wählen Sie die gewünschte Software aus (11.1.1.39 oder höher ist erforderlich, wenn Sie die 110-Plattform verwenden). Klicken Sie dann auf Config/Software bereitstellen, um die Konfigurations- und Softwarepakete bereitzustellen.

Bereitstellen

Der Deployment-Tracker erfordert, dass die Konfiguration Staged und Activated ist. Die Aktivierung wird für die bereits verbundenen Sites abgeschlossen, was bedeutet, dass diese SD-WAN-Geräte bereit sind und in der Lage sind, Virtual Path-Verbindungsversuche von der neuen Site zu akzeptieren. Websites, die nicht verbunden sind, warten im Status “Staging ausstehend”, bis das Installationsprogramm vor Ort den Zero-Touch-Bereitstellungs-Workflow durchführt.

Bereitstellen

Da die Konfiguration an das Netzwerk übertragen wird, besteht der nächste Schritt in der Vor-Ort-Aktivität für das Remote-Installationsprogramm darin, das Gerät mit einer der zuvor beschriebenen Zero-Touch-Bereitstellungsmethoden aufrecht zu stellen (1. Zero-Touch-Bereitstellung über das WAN-Interface (Citrix SD-WAN 110-SE), 2. Zero-Touch-Bereitstellung über das LTE-Interface (Citrix SD-WAN 110-LTE-SE)). Mit dem integrierten In-Band-Management und der entsprechenden Internetkonnektivität, die durch einen lokalen Breakout oder einen Backhaul durch das Rechenzentrum konfiguriert wurde, wird die Aktivierung nach einigen Minuten nach Beginn des Zero-Touch-Bereitstellungsprozesses vollständig abgeschlossen. Zu diesem Zeitpunkt kann der Hausarbeiter seinen Laptop/PC mit dem LAN-Netzwerk verbinden und von zu Hause aus mit den vom Administrator bestellten Ressourcen arbeiten.

Aktivieren

Endpoint Management

Für einen SD-WAN-Administrator ist die Remote-Verwaltung von SD-WAN-Geräten, die über verschiedene geografische Regionen verteilt sind, für eine erfolgreiche Home Office-Bereitstellung unerlässlich. Der Fernzugriff auf die SD-WAN-Geräte über das zentrale Verwaltungstool ist für die Konfiguration, Überwachung und Fehlerbehebung wichtig.

Inband-Verwaltung

In-Band-Verwaltungsfunktionen ermöglichen es den Datenschnittstellen, Daten- und Verwaltungsdatenverkehr zu übertragen, ohne eine Out-of-Band-Verwaltungsschnittstelle konfigurieren zu müssen. Die In-Band-Verwaltungsfunktionen werden genutzt, um das Zero-Touch-Deployment-Verfahren zu vereinfachen, wodurch die Notwendigkeit von Installationsprogrammen vor Ort daran besteht, einen separaten Verwaltungszugriff zu konfigurieren oder sogar den Zugriff auf die lokalen Webschnittstellen zu überflüssig zu machen. Die In-Band-Bereitstellung wurde kürzlich für die SD-WAN 110-SE- und VPX-Plattformen eingeführt, beginnend mit R11.1.1. Weitere Einzelheiten finden Sie unter Inband-Management von Orchestrator.

Fallback-Konfiguration

Die Fallback-Konfiguration ist eine weitere wichtige Funktion, um die Konnektivität des SD-WAN-Geräts zu Citrix Cloud Services bei Ausfällen wie Lizenz- oder Softwarekennreglern aufrechtzuerhalten. Die Fallback-Konfiguration ist bei Appliances standardmäßig aktiviert, die über ein Standardkonfigurationsprofil mit einem Factory-Image von R11.1.1 oder höher verfügen. (Weitere Einzelheiten finden Sie unter Orchestrator-Fallback-Konfiguration)

Liefer-Dienstleistungen

Bereitstellungsdienste können global definiert werden, um die SD-WAN-Konnektivität für Internet-, Intranet-, IPsec- oder GRE-Tunnel zu begrenzen. Dies kann beispielsweise die Definition von Richtlinien umfassen, die für jeden Remotestandort lokal sind, um den internetgebundenen Datenverkehr über Secure Web Gateway-Lösungen, z. B. Citrix Secure Internet Access, zu tunneln, was eine nützliche Funktion für die Anwendungsfälle im Home Office sein kann. (Weitere Einzelheiten finden Sie unter Orchestrator-Bereitstellungsservices)

Routing-Richtlinien

Routing-Richtlinien können global definiert werden, um die Verkehrssteuerung zu ermöglichen. Dies kann beispielsweise ein direktes Breakout des O365-Datenverkehrs für eine Leistung mit niedriger Latenz beinhalten. (Weitere Einzelheiten finden Sie unter Orchestrator-Routing)

Firewall-Richtlinien

Firewall-Richtlinien können global definiert werden, um die Privatbenutzer auf geschäftskritische Anwendungen zu beschränken. Dies kann beispielsweise die Konfiguration der globalen Firewall-Einstellungen zum Löschen des gesamten Datenverkehrs und die weitere Konfiguration von Richtlinien umfassen, um nur bestimmten Datenverkehr (z. B. Citrix Virtual Apps and Desktops) über den Virtual Path Service und den O365-Datenverkehr über den Internetdienst streng zu begrenzen. (Weitere Einzelheiten finden Sie unter Orchestrator-Sicherheit)

Informationsquellen

Weitere Informationen finden Sie unter:

Produktivität von Remote-Mitarbeitern

Technikübersicht für Citrix SD-WAN Heimbüro

Designentscheidungen für Citrix SD-WAN Home Office

Citrix SD-WAN für Heimbüros POC-Leitfaden