Citrix SD-WAN Center

Implementación de Zero Touch

Nota

El servicio Zero Touch Deployment se admite en determinados dispositivos Citrix SD-WAN:

  • SD-WAN 210 Standard Edition
  • SD-WAN 410 Standard Edition
  •  SD-WAN 2100 Edición Estándar
  • SD-WAN 1000 Standard Edition (se requiere reimagen)
  • SD-WAN 1000 Enterprise Edition (Premium Edition) (se requiere reimagen)
  • SD-WAN 1100 Standard Edition
  • Edición SD-WAN 1100 Premium (Enterprise)
  •  SD-WAN 2000 Standard Edition (se requiere reimagen)
  •  SD-WAN 2000 Enterprise Edition (Premium Edition) (se requiere reimagen) -  Instancia de SD-WAN AWS VPX

El servicio Zero Touch Deployment (ZTD) es un servicio en la nube gestionado y gestionado por Citrix que permite descubrir nuevos dispositivos en la red Citrix SD-WAN y automatiza el proceso de implementación de sucursales. El servicio ZTD Cloud Service es accesible desde cualquier nodo de la red a través de Internet y a través del protocolo Secure Socket Layer (SSL).

ZTD Cloud Service se comunica de forma segura con los servicios de back-end de Citrix Network que almacenan la identificación de los clientes que han adquirido dispositivos compatibles con Zero Touch (por ejemplo, SD-WAN 410-SE, 2100-SE).Los servicios de back-end están disponibles para autenticar cualquier solicitud de implementación de Zero Touch, validando correctamente la asociación entre la cuenta del cliente y los números de serie de los dispositivos Citrix SD-WAN.

Arquitectura y flujo de trabajo de ZTD

Sitio del centro de datos

Citrix SD-WAN Administrator: Usuario con derechos de administración del entorno SD-WAN con las siguientes responsabilidades principales:

  • Creación de la configuración mediante la herramienta Citrix SD-WAN Center Network Configuration o importar la configuración desde el dispositivo SD-WAN del nodo de control maestro (MCN).
  • Citrix Cloud Login para iniciar el servicio Zero Touch Deployment Service para la implementación de nuevos nodos de sitio.

Nota

Si su SD-WAN Center está conectado a Internet a través de un servidor proxy, debe configurar la configuración del servidor proxy en SD-WAN Center. Para obtener más información, consulte Configuración del servidor proxy para la implementación de Zero Touch.

Administrador de red: Un usuario responsable de la administración de redes empresariales (DHCP, DNS, Internet, firewall, etc.)

  • Si es necesario, configure firewalls para la comunicación saliente con FQDN sdwanzt.citrixnetworkapi.net desde SD-WAN Center.

Sitio remoto

Instalador in situ: Un contacto local o un instalador contratado para actividades in situ con las siguientes responsabilidades principales:

  • Desempaquete físicamente el dispositivo Citrix SD-WAN.
  • Reimagen de dispositivos listos para ZTD.

    • Necesario para: SD-WAN 1000-SE, 2000-SE, 1000-EE, 2000-EE
    • No se requiere para: SD-WAN 410-SE, 2100-SE
  • Cable de alimentación del dispositivo.
  • Cable el dispositivo para la conectividad a Internet en la interfaz de administración (por ejemplo, MGMT o 0/1).
  • Cable del dispositivo para conectividad de enlace WAN en las interfaces de datos (por ejemplo, Apa.WAN, Apb.WAN, Apc.wan, 0/2, 0/3, 0/5, etc.)

Nota

El diseño de la interfaz es diferente en cada modelo, así que consulte la documentación para la identificación de datos y puertos de administración.

Imagen localizada

Se requieren los siguientes requisitos previos antes de iniciar cualquier servicio Zero Touch Deployment:

  • Ejecución activa de SD-WAN promovida a Master Control Nodo (MCN).
  • Ejecución activa de SD-WAN Center con conectividad al MCN a través de Virtual Path.
  • Credenciales de inicio de sesión de Citrix Cloud creadas en https://onboarding.cloud.com (consulta las instrucciones que se indican a continuación sobre la creación de la cuenta).
  • Conectividad de red de administración (SD-WAN Center y SD-WAN Appliance) a Internet en el puerto 443, ya sea directamente o a través de un servidor proxy.
  • Conectividad a Internet en el puerto 443 para acceder al portal web de SD-WAN Center para la configuración inicial de ZTD.
  • (opcional) Al menos un dispositivo SD-WAN que se ejecuta activamente en una sucursal en modo cliente con conectividad de ruta virtual válida a MCN para ayudar a validar el establecimiento de rutas correctas en la red subyacente existente.

El último requisito previo no es un requisito, pero permite al administrador de SD-WAN validar que la red de calco subyacente permite que se establezcan rutas virtuales cuando se complete la implementación de Zero Touch con cualquier sitio recién agregado.Principalmente, esto valida que las directivas de firewall y ruta adecuadas estén en vigor para el tráfico NAT en consecuencia o confirmar la capacidad para que el puerto UDP 4980 pueda penetrar correctamente en la red para llegar al MCN.

Imagen localizada

Introducción al servicio de implementación Zero Touch

El servicio Zero Touch Deployment Service funciona en conjunto con el SD-WAN Center para facilitar la implementación de los dispositivos SD-WAN de sucursales. SD-WAN Center se configura y utiliza como herramienta de administración central para los dispositivos SD-WAN Standard y Enterprise (Premium) Edition.Para utilizar Zero Touch Deployment Service (o ZTD Cloud Service), un administrador debe comenzar por implementar el primer dispositivo SD-WAN en el entorno y, a continuación, configurar e implementar SD-WAN Center como punto central de administración.Cuando el SD-WAN Center, versión 9.1 o posterior, está instalado con conectividad a Internet pública en el puerto 443, SD-WAN Center inicia automáticamente el servicio en la nube e instala los componentes necesarios para desbloquear las funciones de implementación de Zero Touch y hacer que la opción de implementación de Zero Touch esté disponible en la interfaz gráfica de usuario de SD-WAN Center.Zero Touch Deployment no está disponible de forma predeterminada en el software SD-WAN Center.Esto está diseñado a propósito para asegurarse de que los componentes preliminares adecuados de la red de calco subyacente estén presentes antes de permitir que un administrador inicie cualquier actividad in situ que implique la implementación Zero Touch.

Después de un entorno SD-WAN en funcionamiento, el registro en Zero Touch Deployment Service se realiza mediante la creación de un inicio de sesión en la cuenta de Citrix Cloud.Con SD-WAN Center capaz de comunicarse con el servicio ZTD, la GUI expone las opciones de implementación Zero Touch en la pestaña Configuración.Al iniciar sesión en el servicio Zero Touch se autentica el ID de cliente asociado al entorno SD-WAN concreto y se registra SD-WAN Center, además de desbloquear la cuenta para una mayor autenticación de las implementaciones de dispositivos ZTD.

Mediante la herramienta de configuración de red en SD-WAN Center, el administrador de SD-WAN necesita utilizar las plantillas o la capacidad de clonar sitios para crear la configuración de SD-WAN para agregar nuevos sitios.SD-WAN Center utiliza la nueva configuración para iniciar la implementación de ZTD para los sitios recién agregados.Cuando el administrador de SD-WAN inicia un sitio para la implementación mediante el proceso ZTD, tiene la opción de autenticar previamente el dispositivo que se va a utilizar para ZTD rellenando previamente el número de serie e iniciando la comunicación por correo electrónico con el instalador in situ para iniciar la actividad in situ.

El instalador in situ recibe una comunicación por correo electrónico en la que se indica que el sitio está listo para la implementación de Zero Touch y que puede iniciar el procedimiento de instalación de encendido y cableado del dispositivo para la asignación de direcciones IP DHCP y el acceso a Internet en el puerto MGMT.Además, cableado en cualquier puerto LAN y WAN.Todo lo demás es iniciado por el servicio ZTD y el progreso es supervisado por el uso de la URL de activación. En caso de que el nodo remoto que se va a instalar sea una instancia en la nube, al abrir la URL de activación se inicia el flujo de trabajo para instalar automáticamente la instancia en el entorno de nube designado, ningún instalador local necesita ninguna acción.

Zero Touch Deployment Cloud Service automatiza las siguientes acciones:

Descargue y actualice el Agente ZTD si hay nuevas funciones disponibles en el dispositivo de sucursal.

  • Autenticar el dispositivo de sucursal validando el número de serie.
  • Autenticar que el Administrador de SD-WAN aceptó el sitio para ZTD mediante SD-WAN Center.
  • Extraiga el archivo de configuración específico para el dispositivo de destino del SD-WAN Center.
  • Inserte el archivo de configuración específico para el dispositivo de destino en el dispositivo de sucursal.
  • Instale el archivo de configuración en el dispositivo de sucursal.
  • Inserte los componentes de software SD-WAN que falten o las actualizaciones necesarias en el dispositivo de sucursal.
  • Inserte un archivo de licencia temporal de 10 Mbps para confirmar el establecimiento de la ruta virtual en el dispositivo de sucursal.
  • Habilite el servicio SD-WAN en el dispositivo de sucursal.

Se requieren más pasos del Administrador de SD-WAN para instalar un archivo de licencia permanente en el dispositivo.

Procedimiento del servicio de implementación de Zero Touch

En el siguiente procedimiento se detallan los pasos necesarios para implementar un nuevo sitio mediante el servicio de implementación Zero Touch.Tener un MCN en ejecución y un nodo cliente ya trabajando con la comunicación adecuada con SD-WAN Center, así como rutas virtuales establecidas que confirmen la conectividad a través de la red subyacente. Se requieren los siguientes pasos del Administrador de SD-WAN para iniciar la implementación de Zero Touch:

Imagen localizada

Cómo configurar el servicio Zero Touch Deployment

El SD-WAN Center tiene la funcionalidad de aceptar solicitudes de dispositivos recién conectados para unirse a la red SD-WAN Enterprise. La solicitud se reenvía a la interfaz web a través del servicio de implementación de Zero Touch. Una vez que el dispositivo se conecta al servicio, se descargan los paquetes de configuración y actualización de software.

Flujo de trabajo de configuración:

  • Acceda a SD-WAN Center > Crear nueva configuración de sitio o Importar configuración existente y guárdela.
  • Inicie sesión en Citrix Workspace Cloud para habilitar el servicio ZTD. La opción de menú Deployment Zero Touch ahora se muestra en la interfaz de administración web del centro SD-WAN.
  • En SD-WAN Center, vaya a Configuración > Implementación de Zero Touch > Implementar nuevo sitio.
  • Seleccione un dispositivo, haga clic en Habilitary haga clic enImplementar.
  • El instalador recibe un correo electrónico de activación > Introduzca el número de serie > Activar > El dispositivo se implementa correctamente.

Para configurar el servicio Zero Touch Deployment:

  1. Instale SD-WAN Center con capacidades de implementación de Zero Touch habilitadas.
    1. Instale SD-WAN Center con la dirección IP asignada a DHCP.
    2. Verifique que SD-WAN Center asigne una dirección IP de administración adecuada y una dirección DNS de red con conectividad a Internet pública a través de la red de administración.
    3. Actualice el SD-WAN Center a la versión más reciente del software SD-WAN.

    4. Con una conectividad adecuada a Internet, el Centro SD-WAN inicia el servicio en la nube Zero Touch Deployment (ZTD) y descarga e instala automáticamente cualquier actualización de firmware específica de ZTD. Si este procedimiento de llamada a casa falla, la siguiente opción de implementación Zero Touch no está disponible en la GUI.

      Imagen localizada

    5. Lea los Términos y Condiciones y, a continuación, seleccione Reconozco que he leído y acepto los Términos y Condiciones anteriores.

    6. Haga clic en el botón Iniciar sesión en Citrix Workspace Cloud si ya se ha creado una cuenta de Citrix Cloud.

    7. Inicie sesión en la cuenta de Citrix Cloud y, al recibir el siguiente mensaje de inicio de sesión exitoso, NO CIERRE ESTA VENTANA, EL PROCESO REQUIERE OTROS ~ 20 SEGUNDOS PARA QUE SE ACTUALICE LA GUI DEL CENTRO SD-WAN. La ventana debe cerrarse sola cuando esté completa.

      Imagen localizada

    8. Para crear una cuenta de Cloud Login siga el procedimiento:

      Imagen localizada

      Imagen localizada

    9. Inicie sesión con una cuenta Citrix existente.

    10. Una vez iniciado sesión en la página SD-WAN Center Zero Touch Deployment, es posible que observe que no hay sitios disponibles para la implementación de ZTD debido a los siguientes motivos:

      • La configuración activa no se ha seleccionado en el menú desplegable Configuración
      • Todos los sitios para la configuración activa actual ya se han implementado
      • La configuración no se creó mediante SD-WAN Center, sino el Editor de configuración disponible en el MCN
      • Los sitios no se crearon en la configuración que hace referencia a dispositivos con prestaciones Zero Touch (por ejemplo, 410-SE, 2100-SE, Cloud VPX)
  2. Actualice la configuración para agregar un nuevo sitio remoto con un dispositivo SD-WAN compatible con ZTD mediante SD-WAN Center Network Configuration.

    Si la configuración de SD-WAN no se creó mediante la configuración de red de SD-WAN Center, importe la configuración activa desde el MCN y comience a modificar la configuración mediante SD-WAN Center.Para la capacidad de implementación de Zero Touch, el administrador de SD-WAN debe crear la configuración mediante SD-WAN Center.Se debe utilizar el siguiente procedimiento para agregar un nuevo sitio destinado a la implementación de Zero Touch.

    Diseñe el nuevo sitio para la implementación del dispositivo SD-WAN describiendo primero los detalles del nuevo sitio (es decir, el modelo del dispositivo, el uso de grupos de interfaz, las direcciones IP virtuales, los enlaces WAN con ancho de banda y sus puertas de enlace respectivas).

    Importante

    Es posible que observe cualquier nodo de sitio que tenga VPX seleccionada como modelo también aparece en la lista, pero actualmente la compatibilidad con ZTD solo está disponible para la instancia de AWS VPX. Nota

    • Asegúrese de que utiliza un explorador web compatible con Citrix SD-WAN Center
    • Asegúrese de que el explorador web no bloquee ninguna ventana emergente durante el inicio de sesión de Citrix Workspace

    Imagen localizada

    Se trata de un ejemplo de implementación de un sitio de sucursal, el dispositivo SD-WAN se implementa físicamente en la ruta de acceso del enlace WAN MPLS existente a través de una red 172.16.30.0/24 y mediante un vínculo de copia de seguridad existente habilitándolo en un estado activo y finalizando ese segundo enlace WAN directamente en el dispositivo SD-WAN en una subred diferente 172.16.31.0/24.

    Nota

    Los dispositivos SD-WAN asignan automáticamente una dirección IP predeterminada 192.168.100.1/16.Con DHCP habilitado de forma predeterminada, el servidor DHCP de la red puede proporcionar al dispositivo una segunda dirección IP en una subred que se superponga a la predeterminada.Esto puede dar lugar a un problema de enrutamiento en el dispositivo en el que el dispositivo podría no conectarse al servicio en la nube de ZTD. Configure el servidor DHCP para asignar direcciones IP fuera del rango 192.168.0.0/16.

    Hay varios modos de implementación disponibles para la colocación de productos SD-WAN en una red. En el ejemplo anterior, SD-WAN se está implementando como una superposición sobre la infraestructura de red existente.Para los sitios nuevos, los administradores de SD-WAN pueden optar por implementar la SD-WAN en el modo Edge o Gateway Modo, eliminando la necesidad de un enrutador perimetral WAN y un firewall, y consolidando las necesidades de red de enrutamiento perimetral y firewall en la solución SD-WAN.

    1. Abra la interfaz de administración web de SD-WAN Center y vaya a la página Configuración > Configuración de red.

      Imagen localizada

    2. Asegúrese de que ya hay una configuración en funcionamiento o importe la configuración desde el MCN.

    3. Desplácese a la ficha Avanzadas para crear un sitio.

    4. Abra el icono Sitios para mostrar los sitios configurados actualmente.

    5. Creó rápidamente la configuración para el nuevo sitio mediante la función de clonación de cualquier sitio existente.

      Imagen localizada

    6. Rellene todos los campos requeridos de la topología diseñada para este nuevo sitio de sucursal

      Imagen localizada

    7. Después de clonar un sitio nuevo, desplácese hasta la Configuración básica del sitio y verifique que el Modelo de SD-WAN esté seleccionado correctamente, lo que soportaría el servicio Zero Touch.

      Imagen localizada

    8. El modelo SD-WAN para el sitio se puede actualizar, pero tenga en cuenta que es posible que deba redefinirse los Grupos de interfaz, ya que el dispositivo actualizado podría tener un nuevo diseño de interfaz y luego lo que se usó para clonar.

    9. Guarde la nueva configuración en SD-WAN Center y use la exportación a la opción Bandeja de entrada de administración de cambios para insertar la configuración mediante Administración de cambios.

    10. Siga el procedimiento de administración de cambios para organizar correctamente la nueva configuración, lo que hace que los dispositivos SD-WAN existentes conozcan el nuevo sitio que se va a implementar mediante Zero Touch, debe utilizar la opción Ignorar incompleta para omitir el intento de insertar la configuración en el nuevo sitio que aún necesita ir a través del flujo de trabajo ZTD.

  3. Vuelva a la página SD-WAN Center Zero Touch Deployment y, con la nueva configuración activa en ejecución, el nuevo sitio estará disponible para su implementación.

    1. En la página Deployment Zero Touch, en la ficha Implementar nuevo sitio, seleccione el archivo de configuración de red en ejecución

    2. Después de seleccionar el archivo de configuración en ejecución, se mostrará la lista de todos los sitios de sucursales con dispositivos SD-WAN no implementados que son compatibles con Zero Touch

      Imagen localizada

      Imagen localizada

    3. Seleccione los sitios de sucursal que quiere configurar para el servicio Zero Touch, haga clic en Habilitar y, a continuación, en Implementar.

      Imagen localizada

    4. Aparece una ventana emergente Implementar nuevo sitio, en la que el administrador puede proporcionar el número de serie, la dirección de calle del sitio de la sucursal, la dirección de correo electrónico del instalador y más notas, si es necesario.

      Imagen localizada

    Nota

    • El campo de entrada de número de serie es opcional y dependiendo de si se rellena o no produce un cambio en la actividad in situ del que es responsable el instalador.
    • Si se rellena el campo Número de serie: no es necesario que el instalador introduzca el número de serie en la URL de activación generada con el comando deploy site
    • Si el campo Número de serie se deja en negro: el instalador es responsable de introducir el número de serie correcto del dispositivo en la URL de activación generada con el comando deploy site
    1. Después de hacer clic en el botón Implementar, aparecerá un mensaje que indica que “La configuración del sitio se ha implementado”.

    2. Esta acción activa el SD-WAN Center, que se registró previamente con ZTD Cloud Service, para compartir la configuración de este sitio en particular para que sea temporal almacenada en ZTD Cloud Service.

    3. Vaya a la ficha Activación pendiente para confirmar que la información del sitio de sucursal se rellenó correctamente y se puso en un estado de actividad de instalación pendiente.

      Imagen localizada

    Nota

    Si la información es incorrecta, se puede seleccionar una implementación de Zero Touch en el estado de activación pendiente. Si se elimina un sitio de la página de activación pendiente, estará disponible para implementarse en la página de separador Implementar nuevo sitio. Una vez que elija eliminar el sitio de la sucursal de Activación pendiente, el enlace de activación enviado al instalador se convierte en inválido.

    Si el administrador de SD-WAN no ha rellenado el campo Número de serie, el campo Estado indica «Esperando al instalador» en lugar de «Conexión».

  4. La siguiente serie de actividades es realizada por el instalador in situ.

    1. El instalador comprueba en el buzón la dirección de correo electrónico que utilizó el Administrador de SD-WAN al implementar el sitio.

      Imagen localizada

    2. Abra la URL de activación de implementación de Zero Touch en una ventana del explorador de Internet.

    3. Si el administrador de SD-WAN no rellenó previamente el número de serie en el paso del sitio de implementación, el instalador será responsable de localizar el número de serie en el dispositivo físico e introducir el número de serie manualmente en la URL de activación y, a continuación, haga clic en el botón Activar.

      Imagen localizada

    4. Si el administrador rellena previamente la información del número de serie, la URL de activación ya ha progresado al paso siguiente.

      Imagen localizada

    5. El instalador debe estar físicamente in situ para realizar las siguientes acciones:

      • Cable todas las interfaces WAN y LAN para que coincidan con la topología y la configuración incorporadas en los pasos anteriores.
      • Cable de la interfaz de administración (MGMT, 0/1) en el segmento de la red que proporciona la dirección IP DHCP y conectividad a Internet con DNS y FQDN a la resolución de direcciones IP.
      • Cable de alimentación del dispositivo SD-WAN.
      • Encienda el interruptor de alimentación del dispositivo.

    Nota

    La mayoría de los dispositivos se encenderán automáticamente cuando el cable de alimentación esté conectado.Es posible que algunos dispositivos tengan que encenderse con el interruptor de encendido situado en la parte frontal del dispositivo, mientras que otros podrían tener el interruptor de encendido en la parte posterior del dispositivo.Algunos interruptores de alimentación requieren mantener presionado el botón de encendido hasta que la unidad se encienda.

  5. La siguiente serie de pasos se automatizan con la ayuda del servicio Zero Touch Deployment, pero requiere que estén disponibles los siguientes requisitos previos.

    • El dispositivo de sucursal debe estar encendido
    • DHCP debe estar disponible en la red existente para asignar la administración y la dirección IP DNS
    • Cualquier dirección IP asignada DHCP requiere conectividad a Internet con capacidad para resolver FQDN
    • La asignación de IP se puede configurar manualmente, siempre y cuando se cumplan los demás requisitos previos
    1. El dispositivo obtiene una dirección IP del servidor DHCP de redes, en este ejemplo topología esto se logra a través de las interfaces de datos omitidas de un dispositivo de estado predeterminado de fábrica.

      Imagen localizada

    2. A medida que el dispositivo obtiene la administración web y las direcciones IP DNS del servidor DHCP de red subyacente, el dispositivo inicia el servicio Zero Touch Deployment Service y descarga las actualizaciones de software relacionadas con ZTD.

    3. Con una conectividad exitosa con ZTD Cloud Service, el proceso de implementación realiza automáticamente lo siguiente:

      • Descargue el archivo de configuración almacenado anteriormente por el SD-WAN Center
      • Aplicación de la configuración al dispositivo local
      • Descargar e instalar un archivo de licencia temporal de 10 MB
      • Descargar e instalar cualquier actualización de software si es necesario
      • Activar el servicio SD-WAN

      Imagen localizada

    4. Se puede realizar una confirmación adicional en la interfaz de administración web de SD-WAN Center, el menú Deployment Zero Touch muestra los dispositivos activados correctamente en la pestaña Historial de activación.

      Imagen localizada

    5. Es posible que las rutas virtuales no se muestren inmediatamente en un estado conectado porque es posible que el MCN no confíe en la configuración transmitida desde el servicio de nube de ZTD e informa de «La versión de configuración no coincide» en el Panel de MCN.

      Imagen localizada

    6. La configuración se vuelve a entregar al dispositivo de sucursal recién instalado y el estado se supervisa en la página MCN > Configuración > WAN virtual > Administración de cambios (este proceso puede tardar varios minutos en completarse).

      Imagen localizada

    7. El Administrador de SD-WAN puede supervisar la página de administración web de MCN de cabecera para las rutas virtuales establecidas del sitio remoto.

      Imagen localizada

    8. SD-WAN Center también se puede utilizar para identificar la dirección IP asignada por DHCP del dispositivo in situ desde la página Configuración > Detección de red > Inventario y estado.

      Imagen localizada

    9. En este punto, el Administrador de red SD-WAN puede obtener acceso de administración web al dispositivo in situ mediante la red de superposición SD-WAN.

      Imagen localizada

    10. El acceso de administración web al dispositivo de sitio remoto indica que el dispositivo se ha instalado con una licencia Grace temporal a 10 Mbps, lo que permite que el estado del servicio de ruta virtual se informe como activo.

      Imagen localizada

    11. La configuración del dispositivo se puede validar mediante la página Configuración > WAN virtual > Ver configuración.

      Imagen localizada

    12. El archivo de licencia del dispositivo se puede actualizar a una licencia permanente mediante la página Configuración > Configuración del equipo > Licencias.

      Imagen localizada

    13. Después de cargar e instalar el archivo de licencia permanente, el banner de advertencia de licencia Grace desaparece y durante el proceso de instalación de la licencia no se producirá ninguna pérdida de conectividad con el sitio remoto (se eliminan cero pings).

Implementación de Zero Touch