Administración de copias de seguridad y en banda
Administración en banda
Citrix SD-WAN le permite administrar el dispositivo SD-WAN de dos maneras: administración fuera de banda y administración dentro de banda. La administración fuera de banda le permite crear una dirección IP de administración mediante un puerto reservado para la administración, que solo transporta tráfico de administración. La administración en banda le permite utilizar los puertos de datos SD-WAN para la administración. Lleva tanto tráfico de datos como de administración, sin tener que configurar una ruta de administración de adiciones.
La administración en banda permite que las direcciones IP virtuales se conecten a servicios de administración como la interfaz de usuario web y SSH. Puede habilitar la administración en banda en varias interfaces de confianza habilitadas para ser utilizadas para servicios IP. Puede acceder a la interfaz de usuario web y SSH mediante la IP de administración y las IP virtuales en banda.
Para habilitar la administración en banda en una IP virtual:
- En el editor de configuración, vaya a Sitios > Direcciones IP virtuales.
-
Seleccione Administración en banda para las IP virtuales para las que quiere habilitar la administración en banda.
Nota:
Asegúrese de que el tipo de seguridad de la interfaz es de confianza y que Identity esté habilitada.
- Haga clic en Aplicar
Para obtener información detallada sobre cómo configurar la dirección IP virtual, consulte Cómo configurar IP virtual.
Supervisión de la administración en banda
En el ejemplo anterior, hemos habilitado la administración en banda en 172.170.10.78 IP virtual. Puede utilizar esta IP para acceder a la interfaz de usuario web y SSH.
En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver SSH y la interfaz de usuario web a la que se accede mediante la IP virtual en el puerto 22 y 443, respectivamente, en la columna Dirección IP de destino.
Aprovisionamiento en banda
La necesidad de implementar dispositivos SD-WAN en entornos más sencillos como el hogar o las sucursales pequeñas ha aumentado significativamente. Configurar un acceso de administración independiente para implementaciones más sencillas es una sobrecarga adicional. La implementación Zero-Touch (ZTD) junto con la función de administración en banda permite el Provisioning y la administración de la configuración a través de puertos de datos designados. ZTD ahora es compatible con los puertos de datos designados y no es necesario utilizar un puerto de administración independiente para ZTD. Citrix SD-WAN también permite conmutar por error el tráfico de administración sin problemas al puerto de administración cuando el puerto de datos se desactiva y viceversa.
Un dispositivo en estado enviado de fábrica, que admite el Provisioning en banda, se puede aprovisionar simplemente conectando el puerto de datos o de administración a Internet. Los dispositivos que admiten el Provisioning en banda tienen puertos específicos para LAN y WAN. El dispositivo en estado de restablecimiento de fábrica tiene una configuración predeterminada que permite establecer una conexión con el servicio de implementación sin contacto. El puerto LAN actúa como servidor DHCP y asigna una IP dinámica al puerto WAN que actúa como cliente DHCP. Los enlaces WAN supervisan el servicio DNS Quad 9 para determinar la conectividad WAN.
Nota
El Provisioning en banda solo se aplica a las plataformas SD-WAN 110 SE y SD-WAN VPX.
Una vez que se obtiene la dirección IP y se establece una conexión con el servicio de implementación sin contacto, los paquetes de configuración se descargan e instalan en el dispositivo. Para obtener información sobre la implementación sin contacto a través de SD-WAN Center, consulte Implementación de Zero Touch. Para obtener información sobre la implementación sin contacto a través de SD-WAN Orchestrator, consulte, Implementación de Zero Touch.
Nota: Para el aprovisionamiento del día 0 de los dispositivos SD-WAN a través de los puertos de datos, la versión del software del dispositivo debe ser SD-WAN 11.1.0 o superior.
La configuración predeterminada de un dispositivo en estado de restablecimiento de fábrica incluye las siguientes configuraciones:
- Servidor DHCP en puerto LAN
- Cliente DHCP en el puerto WAN
- Configuración de QUAD9 para DNS
- La IP predeterminada de LAN es 192.168.0.1
- Licencia Grace de 35 días.
Una vez aprovisionado el dispositivo, la configuración predeterminada se inhabilita y se reemplaza por la configuración recibida del servicio de implementación sin contacto. Si caduca una licencia de dispositivo o una licencia de gracia, se activa la configuración predeterminada para garantizar que el dispositivo permanezca conectado al servicio de implementación sin contacto y reciba licencias administradas mediante la implementación sin intervención.
Configuración de respaldo
La configuración de reserva garantiza que el dispositivo permanezca conectado al servicio de implementación sin contacto si hay un error de enlace, una discrepancia de configuración o una discrepancia de software. La configuración de reserva está habilitada de forma predeterminada en los dispositivos que tienen un perfil de configuración predeterminado. También puede modificar la configuración de reserva según la configuración de red LAN existente.
Nota: Después del aprovisionamiento inicial del dispositivo, asegúrese de que la configuración de reserva esté habilitada para la conectividad del servicio de implementación sin contacto.
Si la configuración de retroceso está desactivada, puede activarla navegando a Configuración > WAN virtual > Activar/Deshabilitar flujos > Activar/Deshabilitar configuración de reserva y haciendo clic en Habilitar.
La siguiente tabla proporciona los detalles de los puertos WAN y LAN designados previamente para la configuración de reserva en diferentes plataformas:
| Plataforma | Puertos WAN | Puertos LAN |
|---|---|---|
| 110 | 1/2 | 1/1 |
| 110-LTE | 1/2, LTE-1 | 1/1 |
| 210 | 1/4, 1/5 | 1/3 |
| 210-LTE | 1/4, 1/5, LTE-1 | 1/3 |
| VPX | 2 | 1 |
| 410 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
| 1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
Para personalizar la configuración de reserva según la red LAN:
- Vaya a Configuración > Configuración del equipo > Configuraciónde reserva.
-
Modifique los valores de la siguiente configuración de LAN según sus requisitos de red. Esta es la configuración mínima necesaria para establecer una conexión con el servicio de implementación sin contacto.
- ID de VLAN: ID de VLAN en el que se debe agrupar el puerto LAN.
- Dirección IP: la dirección IP virtual asignada al puerto LAN.
- DHCP habilitado: habilita el puerto LAN como servidor DHCP. El servidor DHCP asigna direcciones IP dinámicas a los clientes en el puerto LAN.
- Inicio DHCP y fin DHCP: Intervalo de direcciones IP que DHCP utiliza para asignar dinámicamente una IP a los clientes en el puerto LAN.
- Servidor DNS: la dirección IP del servidor DNS principal.
- Servidor DNS Alt: la dirección IP del servidor DNS secundario.
- Acceso a Internet: Permita el acceso a Internet a todos los clientes LAN sin ningún otro filtrado.
- Configure el modo para cada puerto. El puerto puede ser un puerto LAN o un puerto WAN o puede inhabilitarse. Los puertos mostrados dependen del modelo del dispositivo. Además, configure el modo de derivación de puerto en Fail-to-Block o Fail-to-Wire.
Para restablecer la configuración de reserva a la configuración predeterminada en cualquier momento, haga clic en Restablecer.
Administración configurable o puerto de datos
La administración en banda permite que los puertos de datos transporten tanto tráfico de datos como de administración, eliminando la necesidad de un puerto de administración dedicado. Esto deja el puerto de administración sin usar en los dispositivos de gama baja, que ya tienen baja densidad de puertos. Citrix SD-WAN permite configurar el puerto de administración para que funcione como puerto de datos o como puerto de administración.
Nota
Puede convertir el puerto de administración en puerto de datos solo en las siguientes plataformas.
- Citrix SD-WAN 110 SE/LTE
- Citrix SD-WAN 210 SE/LTE
En el editor de configuración, utilice el puerto de administración en su configuración. Después de activar la configuración, el puerto de administración se convierte en un puerto de datos.
Nota
Solo puede configurar un puerto de administración cuando la administración en banda está habilitada en otras interfaces de confianza del dispositivo.
Para configurar una interfaz de administración, en el editor de configuración vaya a Sitios, seleccione un sitio y haga clic en Grupos de interfaz. La interfaz MGMT está disponible para ser configurada. Para obtener más información sobre la configuración de grupos de interfaces, consulte Cómo configurar grupos de interfaz.
Para volver a configurar el puerto de administración para realizar la funcionalidad de administración, quite la configuración. Cree una configuración sin utilizar el puerto de administración y actívelo.
Red de administración de backup
Puede configurar una dirección IP virtual como una red de administración de respaldo. Se utiliza como dirección IP de administración si el puerto de administración no está configurado con una Gateway predeterminada.
Nota
Si un sitio tiene un servicio de Internet configurado con un único dominio de redirección, se selecciona de forma predeterminada una interfaz de confianza con identidad habilitada como red de administración de copias de seguridad.
Para seleccionar una IP virtual como red de administración de copias de seguridad:
-
En el editor de configuración, vaya a Sitios > Direcciones IP virtuales.
-
Seleccione una dirección IP virtual como red de administración de copias de seguridad.
-
Seleccione el proxy DNS al que se reenvían todas las solicitudes DNS en el plano de administración de copias de seguridad y en banda.
Nota
El proxy DNS solo se puede seleccionar cuando tanto Administración en banda como Red de administración de copia de seguridad están habilitadas para una IP virtual.
-
Haga clic en Aplicar.
Para obtener información detallada sobre cómo configurar la dirección IP virtual, consulte Cómo configurar la dirección IP virtual
Supervisión de la administración de copias de seguridad
En el ejemplo anterior, hemos seleccionado 172.170.10.78 IP virtual como la red de administración de copias de seguridad. Si la dirección IP de administración no está configurada con una Gateway predeterminada, puede utilizar esta IP para acceder a la interfaz de usuario web y SSH.
En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver esta dirección IP virtual como la dirección IP de origen para el acceso SSH y la interfaz de usuario web.
