Citrix SD-WAN

Administración de copias de seguridad y en banda

Administración en banda

Citrix SD-WAN le permite administrar el dispositivo SD-WAN de dos maneras: administración fuera de banda y administración dentro de banda. La administración fuera de banda le permite crear una dirección IP de administración mediante un puerto reservado para la administración, que solo transporta tráfico de administración. La administración en banda le permite utilizar los puertos de datos SD-WAN para la administración. Lleva tanto tráfico de datos como de administración, sin tener que configurar una ruta de administración de adiciones.

La administración en banda permite que las direcciones IP virtuales se conecten a servicios de administración como la interfaz de usuario web y SSH. Puede habilitar la administración en banda en varias interfaces de confianza habilitadas para su uso en servicios IP. Puede acceder a la interfaz de usuario web y SSH mediante la IP de administración y las IP virtuales en banda.

Nota

  • Citrix SD-WAN Center no admite conectividad con el dispositivo de alta disponibilidad a través de la administración en banda.
  • Puede configurar el tipo de servicio como Cualquiera solo mediante el Editor de configuración de MCN. El servicio Citrix SD-WAN Orchestrator no permite configurar el tipo de servicio como Cualquiera para las directivas NAT de destino.
  • Evite inhabilitar el servicio cuando la única conectividad de administración es alta disponibilidad en banda. Puede bloquearse del dispositivo si inhabilita el servicio.

Para habilitar la administración en banda en una IP virtual:

  1. En el editor de configuración, vaya a Sitios > Direcciones IP virtuales.
  2. Seleccione Administración en banda para las IP virtuales para las que desea habilitar la administración en banda.

    Nota:

    Asegúrese de que el tipo de seguridad de la interfaz es De confianza y que Identidad esté habilitada.

    Administración en banda

  3. Haga clic en Aplicar

Para obtener información detallada sobre el procedimiento de configuración de la dirección IP virtual, consulte Cómo configurar la IP virtual.

A partir de la versión 11.3.1 de Citrix SD-WAN, la administración en banda admite pares de dispositivos de alta disponibilidad. La comunicación entre los dispositivos primarios y secundarios se realiza a través de las interfaces virtuales que utilizan NAT.

Los siguientes puertos permiten la comunicación con los servicios de administración en los dispositivos de alta disponibilidad:

  • HTTPS
    • 443 - Se conecta a la HA activa
    • 444 - Redirige al primario de alta disponibilidad
    • 445 - Redirige a la secundaria de HA
  • SSH
    • 22 - Se conecta a la HA activa
    • 23 - Redirige al primario de alta disponibilidad
    • 24 - Redirige a la secundaria de alta disponibilidad
  • SNMP
    • 161 - Se conecta a la HA activa
    • 162 - Redirige al primario de HA
    • 163 - Redirige a la secundaria de HA

Utilice directivas NAT de destino para crear direcciones IP que permitan la conectividad a HA en banda sin necesidad de introducir un puerto.

Por ejemplo, se utilizan las siguientes direcciones IP en banda para acceder a los dispositivos:

  • Dispositivo activo - 1.0.1.2
  • Dispositivo primario - 1.0.1.10
  • Dispositivo secundario - 1.0.1.11

Cree dos nuevas direcciones IP virtuales que estén en la misma red que la de la dirección IP virtual de administración en banda. En este ejemplo, 1.0.1.2/24 es las direcciones IP virtuales de administración en banda y 1.0.1.2/24 se selecciona como la red de copia de seguridad. 1.0.1.10 y 1.0.1.11 son las nuevas direcciones IP virtuales que se crean. 1.0.1.10 se utiliza para acceder al dispositivo principal y 1.0.1.11 para acceder al dispositivo secundario.

IP virtual de alta disponibilidad en banda

Crear directivas NAT de destino. Las seis directivas DNAT redirigen los puertos base para los servicios al puerto de alta disponibilidad en banda apropiado. Después de aplicar la configuración, puede acceder a los dispositivos primarios y secundarios directamente con las direcciones IP internas.

Directivas de NAT de destino de alta disponibilidad en banda

Supervisión de la administración en banda

En el ejemplo anterior, hemos habilitado la administración en banda en la IP virtual 172.170.10.78. Puede utilizar esta IP para acceder a la interfaz de usuario web y a SSH.

En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver SSH y la interfaz de usuario web a la que se accede mediante la IP virtual en el puerto 22 y 443, respectivamente, en la columna Dirección IP de destino.

Supervisión de la administración en banda

Aprovisionamiento en banda

La necesidad de implementar dispositivos SD-WAN en entornos más sencillos como el hogar o las sucursales pequeñas ha aumentado significativamente. Configurar un acceso de administración independiente para implementaciones más sencillas es una sobrecarga adicional. La implementación sin táctiles junto con la función de administración en banda permite el aprovisionamiento y la administración de la configuración a través de puertos de datos designados. La implementación sin táctiles ahora se admite en los puertos de datos designados y no es necesario utilizar un puerto de administración independiente para la implementación sin contacto. Citrix SD-WAN también permite conmutar por error el tráfico de administración sin problemas al puerto de administración cuando el puerto de datos se desactiva y viceversa.

Un dispositivo en estado enviado de fábrica, que admite el Provisioning en banda, se puede aprovisionar simplemente conectando el puerto de datos o de administración a Internet. Los dispositivos que admiten el Provisioning en banda tienen puertos específicos para LAN y WAN. El dispositivo en estado de restablecimiento de fábrica tiene una configuración predeterminada que permite establecer una conexión con el servicio de implementación sin contacto. El puerto LAN actúa como servidor DHCP y asigna una IP dinámica al puerto WAN que actúa como cliente DHCP. Los enlaces WAN supervisan el servicio DNS Quad 9 para determinar la conectividad WAN.

Nota

El Provisioning en banda solo se aplica a las plataformas SD-WAN 110 SE y SD-WAN VPX.

Una vez que se obtiene la dirección IP y se establece una conexión con el servicio de implementación sin contacto, los paquetes de configuración se descargan e instalan en el dispositivo. Para obtener información sobre la implementación sin intervención a través de SD-WAN Center, consulte Implementación sin intervención. Para obtener información sobre la implementación sin intervención a través de SD-WAN Orchestrator, consulte Implementación sin intervención.

Nota: Para el aprovisionamiento por día 0 de dispositivos SD-WAN a través de los puertos de datos, la versión del software del dispositivo debe ser SD-WAN 11.1.0 o superior.

La configuración predeterminada de un dispositivo en estado de restablecimiento de fábrica incluye las siguientes configuraciones:

  • Servidor DHCP en puerto LAN
  • Cliente DHCP en el puerto WAN
  • Configuración de QUAD9 para DNS
  • La IP predeterminada de LAN es 192.168.0.1
  • Licencia Grace de 35 días.

Una vez aprovisionado el dispositivo, la configuración predeterminada se inhabilita y se reemplaza por la configuración recibida del servicio de implementación sin contacto. Si caduca una licencia de dispositivo o una licencia de gracia, se activa la configuración predeterminada para garantizar que el dispositivo permanezca conectado al servicio de implementación sin contacto y reciba licencias administradas mediante la implementación sin intervención.

Configuración predeterminada/reserva

La configuración de reserva garantiza que el dispositivo permanezca conectado al servicio de implementación sin contacto si hay un error de enlace, una discrepancia de configuración o una discrepancia de software. La configuración de reserva está habilitada de forma predeterminada en los dispositivos que tienen un perfil de configuración predeterminado. También puede modificar la configuración de reserva según la configuración de red LAN existente.

Nota: Después del aprovisionamiento inicial del dispositivo, asegúrese de que la configuración de reserva esté habilitada para la conectividad del servicio de implementación sin contacto.

Si la configuración de retroceso está desactivada, puede activarla navegando a Configuración > Configuración del dispositivo** > Configuración**predeterminada/reserva > Haga clic en Habilitar.

Habilitar configuración de reserva

La siguiente tabla proporciona los detalles de los puertos WAN y LAN designados previamente para la configuración de reserva en diferentes plataformas:

Platform Puertos WAN Puertos LAN
110 1/2 1/1
110-LTE 1/2, LTE-1 1/1
210 1/4, 1/5 1/3
210-LTE 1/4, 1/5, LTE-1 1/3
VPX 2 1
410 1/4, 1/5, 1/6 1/3 (FTB)
1100 1/4, 1/5, 1/6 1/3 (FTB)

Desde la versión 11.3.1 de Citrix SD-WAN, la configuración del puerto WAN se puede configurar. Los puertos WAN se pueden configurar como vínculos WAN independientes mediante el cliente DHCP y supervisar el servicio DNS Quad9 para determinar la conectividad WAN. Puede configurar IP/IP estáticas WAN para los puertos WAN en ausencia de DHCP para utilizar la administración en banda para el aprovisionamiento inicial.

Nota

Sólo puede configurar los puertos Ethernet con las IP estáticas. Las IP estáticas no se pueden configurar con los puertos LTE-1 y LTE-E1. Aunque puede agregar los puertos LTE-1 y LTE-E1 como WAN, los campos de configuración permanecen no modificables.

Cuando se agrega un puerto WAN, se agrega en la sección Configuración de WAN (Puerto: 2) con la casilla de verificación Modo DHCP activada de forma predeterminada. Si la casilla de verificación Modo DHCP está activada, los campos de texto Dirección IP, Dirección IP de puerta de enlace y ID de VLAN aparecen atenuados. Desmarque la casilla Modo DHCP, si desea configurar la IP estática.

Modo DHCP

De forma predeterminada, el campo Dirección IP de seguimiento de WAN se rellena automáticamente con la 9.9.9.9. Puede cambiar la dirección según sea necesario.

Nota

Si está activando la casilla Servidores DNS dinámicos, asegúrese de agregar/configurar al menos un puerto WAN con el modo DHCP seleccionado.

Para personalizar la configuración de reserva según la red LAN:

  1. Vaya a Configuración > Configuración > Configuración del dispositivo > Configuración predeterminada/reserva.
  2. Modifique los valores de la siguiente configuración de LAN según sus requisitos de red. Esta es la configuración mínima necesaria para establecer una conexión con el servicio de implementación sin contacto.

    • ID de VLAN: ID de VLAN en el que se debe agrupar el puerto LAN.
    • Dirección IP: la dirección IP virtual asignada al puerto LAN.
    • DHCP habilitado: habilita el puerto LAN como servidor DHCP. El servidor DHCP asigna direcciones IP dinámicas a los clientes en el puerto LAN.
    • Inicio DHCP y fin DHCP: Intervalo de direcciones IP que DHCP utiliza para asignar dinámicamente una IP a los clientes en el puerto LAN.
    • Servidor DNS: la dirección IP del servidor DNS principal.
    • Servidor DNS Alt: la dirección IP del servidor DNS secundario.
    • Acceso a Internet: Permita el acceso a Internet a todos los clientes LAN sin ningún otro filtrado.

    Habilitar configuración de reserva

  3. Configure el modo para cada puerto. El puerto puede ser un puerto LAN o un puerto WAN o puede inhabilitarse. Los puertos mostrados dependen del modelo del dispositivo. Además, configure el modo de derivación de puerto en Fail-to-Block o Fail-to-Wire.

Para restablecer la configuración de reserva a la configuración predeterminada en cualquier momento, haga clic en Restablecer.

Administración configurable o puerto de datos

La administración en banda permite que los puertos de datos transporten tanto tráfico de datos como de administración, eliminando la necesidad de un puerto de administración dedicado. Esto deja el puerto de administración sin usar en los dispositivos de gama baja, que ya tienen baja densidad de puertos. Citrix SD-WAN permite configurar el puerto de administración para que funcione como puerto de datos o como puerto de administración.

Nota

Puede convertir el puerto de administración en puerto de datos solo en las siguientes plataformas.

  • Citrix SD-WAN 110 SE/LTE
  • Citrix SD-WAN 210 SE/LTE

En el editor de configuración, utilice el puerto de administración en su configuración. Después de activar la configuración, el puerto de administración se convierte en un puerto de datos.

Nota

Solo puede configurar un puerto de administración cuando la administración en banda está habilitada en otras interfaces de confianza del dispositivo.

Para configurar una interfaz de administración, en el editor de configuración vaya a Sitios, seleccione un sitio y haga clic en Grupos de interfaz. La interfaz MGMT está disponible para ser configurada. Para obtener más información sobre la configuración de grupos de interfaces, consulte Cómo configurar grupos de interfaces.

Grupos de interfaz

Para volver a configurar el puerto de administración para realizar la funcionalidad de administración, quite la configuración. Cree una configuración sin utilizar el puerto de administración y actívelo.

Red de administración de backup

Puede configurar una dirección IP virtual como una red de administración de respaldo. Se utiliza como dirección IP de administración si el puerto de administración no está configurado con una Gateway predeterminada.

Nota

Si un sitio tiene un servicio de Internet configurado con un único dominio de redirección, se selecciona de forma predeterminada una interfaz de confianza con identidad habilitada como red de administración de copias de seguridad.

Para seleccionar una IP virtual como red de administración de copias de seguridad:

  1. En el editor de configuración, vaya a Sitios > Direcciones IP virtuales.

  2. Seleccione una dirección IP virtual como red de administración de copias de seguridad.

    Administración de backup

  3. Seleccione el proxy DNS al que se reenvían todas las solicitudes DNS en el plano de administración de copias de seguridad y en banda.

    Nota

    El proxy DNS solo se puede seleccionar cuando tanto Administración en banda como Red de administración de copia de seguridad están habilitadas para una IP virtual.

  4. Haga clic en Aplicar.

Para obtener información detallada sobre cómo configurar la dirección IP virtual, consulte Cómo configurar la dirección IP virtual

Supervisión de la administración de copias de seguridad

En el ejemplo anterior, hemos seleccionado 172.170.10.78 IP virtual como red de administración de backup. Si la dirección IP de administración no está configurada con una puerta de enlace predeterminada, puede usar esta IP para acceder a la IU web y a SSH.

En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver esta dirección IP virtual como la dirección IP de origen para el acceso SSH y la interfaz de usuario web.

Supervisión de la administración de copias de seguridad

Administración de copias de seguridad y en banda