Administración de copias de seguridad y en banda
Administración en banda
Citrix SD-WAN le permite administrar el dispositivo SD-WAN de dos maneras: administración fuera de banda y administración dentro de banda. La administración fuera de banda le permite crear una dirección IP de administración mediante un puerto reservado para la administración, que solo transporta tráfico de administración. La administración en banda le permite utilizar los puertos de datos SD-WAN para la administración. Lleva tanto tráfico de datos como de administración, sin tener que configurar una ruta de administración de adiciones.
La administración en banda permite que las direcciones IP virtuales se conecten a servicios de administración como la interfaz de usuario web y SSH. Puede habilitar la administración en banda en varias interfaces de confianza habilitadas para su uso en servicios IP. Puede acceder a la interfaz de usuario web y SSH mediante la IP de administración y las IP virtuales en banda.
A partir de la versión 11.4.2 de Citrix SD-WAN, es obligatorio configurar la administración dentro de banda para establecer la conectividad con Citrix SD-WAN Orchestrator Service a través de un puerto de administración dentro de banda. De lo contrario, el dispositivo pierde la conectividad con Citrix SD-WAN Orchestrator Service cuando el puerto de administración no está conectado y la dirección IP en banda tampoco está configurada.
Nota
- El servicio Citrix SD-WAN Orchestrator no permite configurar el tipo de servicio como Cualquiera para las directivas NAT de destino.
- Evite inhabilitar el servicio cuando la única conectividad de administración es alta disponibilidad en banda. Puede bloquearse del dispositivo si inhabilita el servicio.
A partir de Citrix SD-WAN 11.5, puede habilitar la administración dentro de banda en una IP virtual solo a través de Citrix SD-WAN Orchestrator Service. Para obtener más información, consulte Administración dentro de banda.
A partir de la versión 11.3.1 de Citrix SD-WAN, la administración en banda admite pares de dispositivos de alta disponibilidad. La comunicación entre los dispositivos primarios y secundarios se realiza a través de las interfaces virtuales que utilizan NAT.
Los siguientes puertos permiten la comunicación con los servicios de administración en los dispositivos de alta disponibilidad:
- HTTPS
- 443 - Se conecta a la HA activa
- 444 - Redirige al primario de alta disponibilidad
- 445 - Redirige a la secundaria de HA
- SSH
- 22 - Se conecta a la HA activa
- 23 - Redirige al primario de alta disponibilidad
- 24 - Redirige a la secundaria de alta disponibilidad
- SNMP
- 161 - Se conecta a la HA activa
- 162 - Redirige al primario de HA
- 163 - Redirige a la secundaria de HA
Utilice directivas NAT de destino para crear direcciones IP que permitan la conectividad a HA en banda sin necesidad de introducir un puerto.
Por ejemplo, se utilizan las siguientes direcciones IP en banda para acceder a los dispositivos:
- Dispositivo activo - 1.0.1.2
- Dispositivo primario - 1.0.1.10
- Dispositivo secundario - 1.0.1.11
Supervisión de la administración en banda
En el ejemplo anterior, hemos habilitado la administración en banda en la IP virtual 172.170.10.78. Puede utilizar esta IP para acceder a la interfaz de usuario web y a SSH.
En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver SSH y la interfaz de usuario web a la que se accede mediante la IP virtual en el puerto 22 y 443, respectivamente, en la columna Dirección IP de destino.
Aprovisionamiento en banda
La necesidad de implementar dispositivos SD-WAN en entornos más sencillos como el hogar o las sucursales pequeñas ha aumentado significativamente. Configurar un acceso de administración independiente para implementaciones más sencillas es una sobrecarga adicional. La implementación sin táctiles junto con la función de administración en banda permite el aprovisionamiento y la administración de la configuración a través de puertos de datos designados. La implementación sin táctiles ahora se admite en los puertos de datos designados y no es necesario utilizar un puerto de administración independiente para la implementación sin contacto. Citrix SD-WAN también permite conmutar por error el tráfico de administración sin problemas al puerto de administración cuando el puerto de datos se desactiva y viceversa.
Un dispositivo en estado enviado de fábrica, que admite el Provisioning en banda, se puede aprovisionar simplemente conectando el puerto de datos o de administración a Internet. Los dispositivos que admiten el Provisioning en banda tienen puertos específicos para LAN y WAN. El dispositivo en estado de restablecimiento de fábrica tiene una configuración predeterminada que permite establecer una conexión con el servicio de implementación sin contacto. El puerto LAN actúa como servidor DHCP y asigna una IP dinámica al puerto WAN que actúa como cliente DHCP. Los enlaces WAN supervisan el servicio DNS Quad 9 para determinar la conectividad WAN.
Nota
El Provisioning en banda solo se aplica a las plataformas SD-WAN 110 SE y SD-WAN VPX.
Una vez que se obtiene la dirección IP y se establece una conexión con el servicio de implementación sin contacto, los paquetes de configuración se descargan e instalan en el dispositivo.
Nota: Para el aprovisionamiento por día 0 de dispositivos SD-WAN a través de los puertos de datos, la versión del software del dispositivo debe ser SD-WAN 11.1.0 o posterior.
La configuración predeterminada de un dispositivo en estado de restablecimiento de fábrica incluye las siguientes configuraciones:
- Servidor DHCP en puerto LAN
- Cliente DHCP en el puerto WAN
- Configuración de QUAD9 para DNS
- La IP predeterminada de LAN es 192.168.0.1
- Licencia Grace de 35 días.
Una vez aprovisionado el dispositivo, la configuración predeterminada se inhabilita y se reemplaza por la configuración recibida del servicio de implementación sin contacto. Si caduca una licencia de dispositivo o una licencia de gracia, se activa la configuración predeterminada para garantizar que el dispositivo permanezca conectado al servicio de implementación sin contacto y reciba licencias administradas mediante la implementación sin intervención.
Configuración predeterminada/reserva
La configuración de reserva garantiza que el dispositivo permanezca conectado al servicio de implementación sin contacto si hay un error de enlace, una discrepancia de configuración o una discrepancia de software. La configuración de reserva está habilitada de forma predeterminada en los dispositivos que tienen un perfil de configuración predeterminado. También puede modificar la configuración de reserva según la configuración de red LAN existente.
Nota: Después del aprovisionamiento inicial del dispositivo, asegúrese de que la configuración de reserva esté habilitada para la conectividad del servicio de implementación sin contacto.
La siguiente tabla proporciona los detalles de los puertos WAN y LAN designados previamente para la configuración de reserva en diferentes plataformas:
| Plataforma | Puertos WAN | Puertos LAN |
|---|---|---|
| 110 | 1/2 | 1/1 |
| 110-LTE | 1/2, LTE-1 | 1/1 |
| 210 | 1/4, 1/5 | 1/3 |
| 210-LTE | 1/4, 1/5, LTE-1 | 1/3 |
| VPX | 2 | 1 |
| 1100 | 1/4, 1/5, 1/6 | 1/3 (FTB) |
Desde la versión 11.3.1 de Citrix SD-WAN, la configuración del puerto WAN se puede configurar. Los puertos WAN se pueden configurar como vínculos WAN independientes mediante el cliente DHCP y supervisar el servicio DNS Quad9 para determinar la conectividad WAN. Puede configurar IP/IP estáticas WAN para los puertos WAN en ausencia de DHCP para utilizar la administración en banda para el aprovisionamiento inicial.
Nota
Solo puede configurar los puertos Ethernet con las IP estáticas. Las IP estáticas no se pueden configurar con los puertos LTE-1 y LTE-E1. Aunque puede agregar los puertos LTE-1 y LTE-E1 como WAN, los campos de configuración permanecen no modificables.
Cuando se agrega un puerto WAN, se agrega en la sección Configuración de WAN (Puerto: 2) con la casilla de verificación Modo DHCP activada de forma predeterminada. Si la casilla de verificación Modo DHCP está activada, los campos de texto Dirección IP, Dirección IP de puerta de enlace y ID de VLAN aparecen atenuados. Desmarque la casilla Modo DHCP, si quiere configurar la IP estática.
De forma predeterminada, el campo Dirección IP de seguimiento de WAN se rellena automáticamente con la 9.9.9.9. Puede cambiar la dirección según sea necesario.
Nota
Si está activando la casilla Servidores DNS dinámicos, asegúrese de agregar/configurar al menos un puerto WAN con el modo DHCP seleccionado.
Administración configurable o puerto de datos
La administración en banda permite que los puertos de datos transporten tanto tráfico de datos como de administración, eliminando la necesidad de un puerto de administración dedicado. Esto deja el puerto de administración sin usar en los dispositivos de gama baja, que ya tienen baja densidad de puertos. Citrix SD-WAN permite configurar el puerto de administración para que funcione como puerto de datos o como puerto de administración.
Nota
Puede convertir el puerto de administración en puerto de datos solo en las siguientes plataformas:
- Citrix SD-WAN 110 SE/LTE
- Citrix SD-WAN 210 SE/LTE
Solo puede configurar un puerto de administración cuando la administración en banda está habilitada en otras interfaces de confianza del dispositivo.
Red de administración de backup
Puede configurar una dirección IP virtual como una red de administración de respaldo. Se utiliza como dirección IP de administración si el puerto de administración no está configurado con una Gateway predeterminada.
Nota
Si un sitio tiene un servicio de Internet configurado con un único dominio de redirección, se selecciona una interfaz de confianza con identidad habilitada como red de administración de copias de seguridad de forma predeterminada.
Supervisión de la administración de copias de seguridad
En el ejemplo anterior, hemos seleccionado 172.170.10.78 IP virtual como red de administración de backup. Si la dirección IP de administración no está configurada con una puerta de enlace predeterminada, puede usar esta IP para acceder a la IU web y a SSH.
En la interfaz de usuario web, vaya a Supervisión > Firewall. Puede ver esta dirección IP virtual como la dirección IP de origen para el acceso SSH y la interfaz de usuario web.
