Guía de POC de Citrix SD-WAN para oficinas domésticas

Información general

Esta guía de prueba de concepto (PoC) está diseñada para ayudarle a implementar rápidamente un entorno de Office en el hogar de Citrix SD-WAN mediante el servicio Citrix SD-WAN Orchestrator como herramienta de administración. Las decisiones de topología WAN Guía de decisiones de diseño de oficinas domésticas de Citrix SD-WAN esbozadas para integrar Citrix SD-WAN en una oficina doméstica.

Revisar el siguiente caso de uso para la opción ISP+ LTE, que incluye un enlace WAN principal proporcionado por un ISP. Se amplía con un servicio LTE, para revisar las consideraciones de implementación.

Topología de oficina doméstica ISP + LTE

En este caso de uso (ISP+LTE), un administrador debe validar primero que la red de oficina doméstica de destino cumple los siguientes requisitos previos:

  • Tener en funcionamiento una conexión a Internet existente proporcionada por su ISP local.
  • El ISP ha proporcionado un enrutador administrado que sirve a la “Red doméstica” existente. El enrutador ISP debe tener un puerto Ethernet disponible. También funciona como un servidor DHCP para asignar información de direcciones IP y DNS al host cliente que la solicita a través de Ethernet. La interfaz 1/2 en el dispositivo SD-WAN está habilitada como cliente DHCP.
  • Una tarjeta SIM LTE activada (comprada directamente por el usuario final o suministrada por el administrador o un proveedor externo).

Confirmar que los requisitos previos están disponibles, antes de involucrar al usuario en cualquier actividad in situ, ayuda a garantizar una implementación rápida y optimizada que puede escalarse a miles de dispositivos de punto final.

Es esencial seleccionar la plataforma SD-WAN adecuada que admita el diseño deseado para el Home Office. Por ejemplo, si el diseño describe que un servicio LTE se utiliza como enlace WAN, seleccionar una plataforma SD-WAN que tenga un módem LTE integrado (por ejemplo, 110-LTE-SE, 210-LTE-SE) ayudaría a reducir los componentes in situ y mitigar la complejidad del instalador.

Las opciones de diseño (ISP único, ISP dual, ISP+LTE, ISP+LTE en espera ISP+LTE, Dual LTE) detalladas anteriormente en esta documentación son totalmente compatibles con las plataformas Citrix 110-LTE-SE y 210-LTE-SE. Cada plataforma SD-WAN tiene especificaciones de hardware ligeramente diferentes, lo que permite algunas variaciones en el diseño soportado.

Por ejemplo, cuando se utiliza una plataforma 210 Standard Edition, el sistema está equipado con hardware de derivación integrado que permite implementar la SD-WAN en modo en línea. En caso de fallo de hardware SD-WAN, el trabajador doméstico puede tener conectividad continua a Internet con la SD-WAN fallando en el calco subyacente, o la red doméstica a través de las interfaces de derivación.

Todas las ediciones de Citrix SD-WAN interactúan con Citrix Secure Internet Access para proporcionar a los trabajadores domésticos acceso seguro a aplicaciones web y SaaS. Alternativamente, al seleccionar Advanced Edition (compatible con las plataformas 210, 410 y 1100), el sistema está equipado con funciones de seguridad perimetral (como IDS/IPS, filtrado web, protección contra malware). Estas funciones pueden ayudar a proteger la “Red de trabajo remoto” y habilitar la ruptura local para el tráfico de Internet seleccionado.

Otra opción sería usar una plataforma 1100-SE con interfaces PoE+ disponibles, permitiendo el uso de dispositivos alimentados por Ethernet, como un teléfono VoIP Desk. Sin embargo, el uso de un inyector PoE puede permitir el uso de dispositivos SD-WAN de gama baja, como un 110-SE, para los casos de uso de la oficina doméstica que requieren PoE. Además de omitir interfaces, las plataformas 1100 pueden alojar un VNF de terceros, como un Palo Alto o un firewall de Checkpoint.

Algunas otras funciones que vale la pena mencionar para ayudar a reducir el enfoque en la plataforma correcta para seleccionar en el diseño de red de los trabajadores domésticos incluyen la plataforma 110 que viene preparada para Wi-Fi. Después de una actualización de software a R11.3.x, puede funcionar como un punto de acceso inalámbrico para la “Red de trabajo remoto”. (Esta funcionalidad solo está disponible para la plataforma 110-LTE-Wi-Fi-SE). La plataforma 110 también tiene soporte para un módem USB LTE externo (disponible también para las plataformas 210 y 1100). Se puede utilizar para admitir el caso de uso Dual LTE, o agregar una tercera opción WAN para el caso de uso ISP+LTE.

Uso del servicio Citrix SD-WAN Orchestrator

Los administradores de SD-WAN administran y limitan de forma centralizada su caso de uso de implementación admitida a través de los perfiles y plantillas de sitio de servicio Citrix SD-WAN Orchestrator. La limitación de los escenarios de implementación de Office en el hogar facilita la administración de implementaciones a gran escala y permite modificar rápidamente varios sitios para adaptarse a cambios futuros. Existen algunas consideraciones administrativas adicionales a tener en cuenta al crear el sitio de la oficina doméstica en el servicio Citrix SD-WAN Orchestrator, por ejemplo:

  • ¿Qué método de Zero Touch Deployment se utiliza para aprovisionar los dispositivos remotos?
  • Después de aprovisionar el dispositivo, ¿cómo continúa el dispositivo la comunicación con el servicio Citrix SD-WAN Orchestrator para obtener más actualizaciones de configuración y recopilar datos?
  • ¿Cómo podemos dar cuenta de la conectividad continua con los servicios en la nube en diferentes escenarios de falla?
  • Si la implementación de la oficina doméstica utiliza WAN Delivery Services, por ejemplo Citrix Secure Internet Access o Citrix Cloud Direct, debe utilizarse un único dominio de redirección. Actualmente no se admite el uso de varios dominios de redirección en conjunto con WAN Delivery Services.

Destacamos algunos de estos a medida que paso a través de la construcción de la configuración.

Crear perfil de sitio

Para configurar perfiles de sitio en Orchestrator, un administrador puede realizar los siguientes pasos: (Para obtener más información, consulte Perfiles de Citrix Orchestrator).

  1. Cree un nuevo perfil de sitio (seleccionando Todos los sitiosy, a continuación, vaya a Configuración > Perfiles y plantillas > Perfiles)
  2. Rellenar detalles del sitio:
    • Nombre del perfil del sitio: HomeOffice (110_ISP+LTE)
    • Modelo del dispositivo: 110.
    • Edición del dispositivo: SE
    • Submodelo: LTE-WiFi
    • Rol del sitio: Sucursal Detalles del sitio
  3. A continuación, configure el uso de Interfaces para que coincida con el diseño deseado, agregue cada interfaz requerida: ISP + LTE
  • Agregar interfaz 1/1 para LAN:
    • Modo de implementación: Edge (puerta de enlace)
    • Tipo de interfaz: LAN
    • Seguridad: De confianza
    • Seleccione Interfaz: 1/1 y SSID1 (esta interfaz LAN define los parámetros para conectar físicamente dispositivos de host final además de los dispositivos conectados a través del SSID Wi-Fi)
    • ID DE VLAN: 0
    • Dominio de redirección: HomeOffice (El dominio de redirección único (Default_RoutingDomain) se puede utilizar para implementaciones de SD-WAN que solo conectan oficinas domésticas y no se conectan a una implementación de sitio SD-WAN existente. Sin embargo, en el caso descrito anteriormente en la documentación, para agregar oficinas domésticas a una implementación existente, se puede introducir un nuevo dominio de redirección para segregar y limitar el acceso de conectividad de la oficina doméstica en la red del centro de datos.) * Zona de firewall: Default_LAN_Zone Interfaces LAN
  • Agregar interfaz 1/2 para WAN:
    • Modo de implementación: Edge (puerta de enlace)
    • Tipo de interfaz: WAN
    • Seguridad: No es de confianza
    • Seleccionar interfaz: 1/2
    • Cliente DHCP: Habilitado (Se espera que esta interfaz SD-WAN esté cableada a la red doméstica existente de oficinas domésticas, donde un enrutador doméstico está configurado como servidor DHCP y asigne una dirección IP a la interfaz 1/2 que opera como cliente DHCP.) * ID de VLAN ID: 0 * Dominio de redirección: Default_RoutingDomain * Zona de firewall: Untrusted Internet_Zone Interfaces WAN]
  • Agregar interfaz LTE-1 para WAN:
    • Modo de implementación: Edge (puerta de enlace)
    • Tipo de interfaz: WAN
    • Seguridad: No es de confianza
    • Seleccionar interfaz: LTE-1
    • ID DE VLAN: 0
    • Cliente DHCP: Habilitado
    • Dominio de redirección: Default_RoutingDomain
    • Zona de firewall: Internet_Zone no confiable Interfaz LTE
  • Agregar interfaz 1/4-MGMT para fines de administración de dispositivos:
    • Modo de implementación: Edge (puerta de enlace)
    • Tipo de interfaz: LAN
    • Seguridad: De confianza
    • Seleccionar interfaz: 1/4-MGMT
    • ID DE VLAN: 0
    • Dominio de redirección: Default_RoutingDomain (La configuración de esta interfaz de administración es necesaria y tiene dos propósitos:
      1. Permite la conectividad continua con Cloud Services después de que el dispositivo se haya aprovisionado mediante una implementación sin contacto.
      2. Sirve como método para que un administrador acceda de forma remota a la interfaz web local del dispositivo para solucionar problemas o supervisión.

      Suponiendo que el Administrador está en la red del centro de datos conectándose a la SD-WAN en Default_RoutingDomain, se puede acceder a la interfaz web del dispositivo SD-WAN remoto con la función de administración en banda habilitada en esta interfaz. La conectividad a la interfaz Mgmt. por parte del administrador remoto se logra a través de la Ruta Virtual. Además, la conectividad con Cloud Services, como el servicio Citrix SD-WAN Orchestrator, se logra mediante la activación local de Internet (Servicio Internet) para Default_RoutingDomain. Si lo quiere, la conectividad a Internet puede usar alternativamente backhaul a través del centro de datos, y se puede interrumpir allí para el acceso a Internet. El puerto de administración (1/4) no requiere cableado para la interfaz web, y las funciones de sondeo de datos para funcionar en cualquier interfaz habilitada para administración en banda.) Administración * Zona del firewall: Default_LAN_Zone Administración de Interfaz

Las interfaces que cumplan los siguientes requisitos de configuración se pueden utilizar para la administración en banda:

  • La seguridad debe establecerse en Confiable
  • El tipo de interfaz debe ser LAN
  • La IP seleccionada no está establecida en Privada
  • Identidad de la IP establecida en true

4. A continuación, cree nuevos enlaces WAN para que coincida con el diseño deseado:

  • Agregue WAN Link #1 mediante la interfaz 1/2:
    • Tipo de acceso: Internet público
    • Nombre de ISP (personalizado): ISP
    • Categoría de Internet: Internet
    • Nombre del enlace: Internet-ISP-1
    • Aprendizaje automático de direcciones IP públicas: HABILITADO (Los sitios indicados por MCN/RCN aprenden dinámicamente la dirección IP pública anunciada de cada sitio de sucursal mediante esta función, ya que los nodos de sucursal intentan establecer la ruta con su MCN/RCN. Cuando se utilizan transportes públicos de Internet, solo se requieren direcciones IP públicas estáticas para los sitios indicados por MCN/RCN.) * Velocidad de salida: 50 Mbps * Velocidad de entrada: 50 Mbps (La velocidad de carga y descarga definida en el enlace WAN #1 depende de la disponibilidad de ancho de banda de cada red doméstica. Se recomienda permanecer bajo esas limitaciones de ancho de banda y permitir que otros miembros del hogar que compartan ese enlace utilicen algún ancho de banda. Priorizar el tráfico de túnel SD-WAN (UDP 4980) en el enrutador ISP ayuda a garantizar que SD-WAN no retroceda el uso de ese vínculo cuando se detecta una contención por el vínculo. Si es necesario, se pueden configurar varios perfiles de sitio, a diferentes velocidades de vínculos WAN, para adaptarse a algunas variaciones en las condiciones locales de Internet de la oficina doméstica.) * Interfaz virtual: VIF-2-WAN-1 * Modo de ruta virtual: Primario Enlace Wan 1
  • Agregue WAN Link #2 mediante la interfaz LTE-1:
    • Tipo de acceso: Internet público
    • Nombre de ISP (personalizado): LTESP
    • Categoría de Internet: LTE
    • Nombre del enlace: LTE-LTE-SP-2
    • Aprendizaje automático de direcciones IP públicas: HABILITADO
    • Velocidad de salida: 20 Mbps
    • Velocidad de entrada: 20 Mbps (La velocidad de carga y descarga definida en el enlace WAN #2 depende del proveedor LTE, sin embargo, un administrador puede limitar el uso estableciendo velocidades de ancho de banda más bajas. O puede establecer las velocidades esperadas y configurar funciones como la detección de ancho de banda adaptable.) * Interfaz virtual: VIF-3-WAN-2 * Modo de ruta virtual: Primario * Detección de MTU activa: Inhabilitada * Habilitar medición: Inhabilitada * Modo de espera: Last-Resort (enlaces_WAN habilitados para Standby tienen dos modos de operación: Last-Resort o Bajo demanda. Los enlaces en espera del último recurso solo se activan cuando todos los enlaces que no están en espera no están disponibles o desactivados. Los vínculos en espera bajo demanda se activan en circunstancias similares, pero también tienen la capacidad de activarse cuando el ancho de banda disponible de la ruta virtual es mayor que el límite de ancho de banda bajo demanda configurado. En ambos modos de espera, todavía hay uso de datos en el enlace cuando no está activo. La cantidad de uso de datos se puede controlar con la frecuencia de los intervalos de latidos cardíacos. Por ejemplo, en un estado de vínculo inactivo, un enlace WAN en espera puede consumir de 150 MB a 270 MB de datos con un intervalo de latido de 1 segundo configurado solo para el tráfico de sondeo._) * Intervalo de latido cardíaco activo: 1 * Intervalo de latidos cardíacos en espera: 1 Enlace Wan 2

Crear Lotes de Sitios

Una vez creado el perfil de sitio, se puede utilizar para crear varios sitios de Office en el hogar por lotes. Para agregar nuevos sitios en Batch mediante el servicio Citrix SD-WAN Orchestrator, un administrador puede realizar lo siguiente: (Para obtener más información, consulte Configuración de red de Orchestrator)

  1. Agregar sitios por lotes (seleccionando Todos los sitios y, a continuación, vaya a Configuración > Inicio de configuración de red y haga clic en el botón Agregar sitios por lotes)
  2. Introduzca el número de sitios para crear en lote y haga clic en Siguiente
  3. Seleccione el perfil de sitio para asociarlo globalmente con los nuevos sitios e introduzca los atributos únicos para identificar cada sitio (por ejemplo, Nombre de sitio, Dirección de sitio) Crear sitio por lotes

Configuración básica de la configuración del sitio

Con los sitios creados y cada uno de ellos haciendo referencia al perfil de sitio deseado, al hacer clic en cada sitio creado se podrá configurar más, permitiendo la entrada de atributos únicos que son específicos de cada sitio.

  1. Detalles del sitio: aquí los sitios se pueden asociar a una región específica cuando se implementan en una arquitectura de varias regiones, o dejarlos en la región predeterminada si se implementan en la implementación predeterminada de una sola región. Detalles de la ubicación del lote
  2. Detalles del dispositivo: aquí se ingresa un número de serie único, específicamente el número de serie del dispositivo enviado al sitio de Office. El número de serie se utiliza para autenticar el dispositivo cuando llama a casa y recupera esta configuración específica del sitio durante el proceso de implementación sin contacto. Detalles del dispositivo por lotes
  3. Detalles de Wi-Fi
    • i. Habilitar Wi-Fi. Configure la configuración de Radio y SSID deseada para este sitio de la oficina doméstica. Detalles de Wi-Fi
  4. Interfaces:
    • i. Modificar Interfaz 1/1 LAN. Cada sitio debe definirse de forma única con una “Red de trabajo remoto”. Seleccione la interfaz LAN e introduzca la subred que se asignará para este sitio remoto específico. La dirección IP principal introducida sirve como VIP de la puerta de enlace LAN (por ejemplo, 172.17.35.1/29) para esta red de trabajo remoto. Interfaces de lote * ii. Modificar interfaz 1/2 WAN. Compruebe que la interfaz WAN está habilitada para el cliente DHCP, para obtener automáticamente una dirección IP de la “Red doméstica existente”. La ventaja de utilizar esta función es que no tiene que conocer específicamente las subredes existentes de redes domésticas, pero hay dependencias en el calco subyacente para tener un puerto Ethernet 10/100/1000 disponible en su enrutador/módem doméstico existente y asegurarse de que cualquier dispositivo conectado a él se emite una dirección IP, DNS y Conectividad a Internet. Lote WAN 12 * iii. Modificar interfaz LTE-1 WAN. Compruebe que la interfaz WAN LTE está habilitada para el cliente DHCP, para obtener automáticamente una dirección IP de la red del proveedor LTE. Lote LTE * iv. Modificar Interfaz 1/4 -MGMT LAN. Cada sitio debe definirse de forma única con una dirección IP de administración, que sirve para continuar la conectividad a los Servicios en la nube y el acceso a la interfaz web por parte del administrador remoto a través de la Ruta Virtual. Introduzca la subred que se va a asignar para este sitio remoto específico. La dirección IP principal introducida sirve como la IP de administración (por ejemplo, 172.17.36.1/32) para esta red de trabajo remota. Administración de interfaces por lotes Seleccione la IP de administración de InBand (por ejemplo, 172.17.36.1) en el menú desplegable. Para obtener más información, consulte administración en banda. IP de administración
  5. Enlaces WAN:
    • i. Modificar el enlace WAN #1, por ejemplo Internet-ISP-1, que utiliza la interfaz 1/2: En este caso de ejemplo, WAN Link #1 hace uso de una “Red doméstica existente” que puede ser un recurso compartido con otros usuarios del hogar (que se consideran no trabajadores). En esta situación, no hay forma de garantizar al SD-WAN las velocidades configuradas para las tasas de salida e ingreso a menos que se utilice un servicio de Internet dedicado para el trabajador a domicilio. En una línea compartida, puede habilitar la función Detección de ancho de banda adaptable en este vínculo WAN, que es una función diseñada para vínculos WAN que proporcionan ancho de banda variable. Cuando el dispositivo detecta pérdidas en esa ruta disponible, debido al tráfico contendiente, el dispositivo utiliza primero el enlace WAN a una velocidad de ancho de banda reducida, y solo cuando el ancho de banda disponible está por debajo del porcentaje de ancho de banda mínimo aceptable configurado, el dispositivo marca la ruta como BAD e intenta evite usarlo (es decir, use cualquier otro enlace disponible en buen estado). No sería necesario habilitar la detección de ancho de banda adaptable si el origen de Internet no está compartido y puede funcionar a las velocidades configuradas. Enlace WAN 1 del lote Lote WAN Link 1 avanzado * ii. Modificar el enlace WAN #2 (por ejemplo, LTE-AT-2) que utiliza la interfaz LTE-1: WAN Link #2 hace uso de una red LTE, que es variable en velocidad de ancho de banda. Habilite la función de detección de ancho de banda adaptable en este vínculo WAN, que está diseñado para vínculos WAN que proporcionan ancho de banda variable. Cuando el dispositivo detecta pérdidas en esa ruta disponible, que es típica para los transportes inalámbricos, el dispositivo utiliza primero el enlace WAN a una velocidad de ancho de banda reducida y solo cuando el ancho de banda disponible está por debajo del porcentaje de ancho de banda mínimo aceptableconfigurado, el dispositivo marca la ruta como BAD e intenta evitar usarlo (es decir, use cualquier otro enlace disponible en buen estado). Enlace WAN 2 del lote Lote WAN Link 2 avanzado
  6. Rutas: Generalmente, la definición de Rutas Estáticas no es necesario para las oficinas en casa. Si es necesario, aquí puede configurar cualquier subred definida estáticamente y fijarla en una IP de puerta de enlace LAN, de modo que la subred definida se publique en dispositivos SD-WAN del mismo nivel.
  7. Resumen: El detalle de resumen del sitio se puede revisar y guardar. Si no se guarda la configuración del sitio, las entradas se perderán si se aleja de la configuración básica del sitio.

Configuración avanzada del sitio

Una vez completada la configuración básica del sitio, debemos asegurarnos de que haya algunos elementos de configuración adicionales para que los dispositivos locales tengan conectividad continua después de que se haya instalado y activado la instalación mediante la implementación sin contacto. Esto se puede hacer en Configuración global, con todos los sitios seleccionados, en Configuración > Servicios de entrega > Servicios y ancho de banda. El servicio Internet se puede habilitar asignando un porcentaje de ancho de banda para un tipo de vínculo WAN. Al asignar un porcentaje (por ejemplo, 30%) para los tipos de “Enlace a Internet”, esto configura automáticamente la ruptura de Internet para cualquier sitio configurado con ese tipo de acceso a vínculos WAN. Servicio y ancho de banda Además, cuando se configura la configuración del sitio para ese tipo de acceso (por ejemplo, Internet pública) y la configuración de seguridad para la interfaz relacionada se establece en No confiable, el sistema crea automáticamente una directiva NAT dinámica para permitir la interrupción de Internet local para el sitio.

Inicio 110 LTE WAN

Inicio 110 LTE WAN

Si la interfaz está configurada con la configuración de seguridad como de confianza, la directiva NAT dinámica debe crearse manualmente desde la página Configuración > Configuración avanzada > NAT del sitio para el dominio de redirección deseado. NAT avanzado Si el dispositivo local requiere servir como servidor DHCP para la subred LAN del trabajador doméstico, la función se puede habilitar en Configuración > Configuración > Configuración avanzada > DHCP. DCHP avanzado

Implementar la configuración

Con el detalle específico del sitio completo, el administrador de SD-WAN puede enviar la configuración a través de la herramienta de administración central. La implementación de la configuración más reciente tiene dos propósitos: 1) Los dispositivos SD-WAN existentes (por ejemplo, MCN) están preparados para permitir el intento de conexión de Ruta Virtual entrante desde el nuevo dispositivo remoto y 2) Los paquetes de dispositivos locales están disponibles en el servicio en la nube de implementación cero para entregar a los dispositivos locales que llaman a casa a través del proceso de implementación sin contacto.

Para implementar la configuración, asegúrese de seleccionar Todos los sitios y, a continuación, vaya a la página inicial Configuración > Configuración de red. Seleccione el software deseado (se requiere 11.1.1.39 o superior si se utiliza la plataforma 110). A continuación, haga clic en Implementar config/Software para organizar la configuración y los paquetes de software.

Implementar

El rastreador de implementación requiere que la configuración esté en etapas y activadas. La activación se completa para los sitios ya conectados, lo que significa que esos dispositivos SD-WAN están listos y pueden aceptar intentos de conexión de Virtual Path desde el nuevo sitio. Los sitios que no están conectados, espere en estado provisional pendiente hasta que el instalador in situ realice el flujo de trabajo de implementación sin contacto.

Etapa

Con la configuración enviada a la red, el siguiente paso es la actividad in situ del instalador remoto consiste en poner en pie el dispositivo mediante uno de los métodos de implementación cero táctiles descritos anteriormente (1. Implementación sin contacto mediante la interfaz WAN (Citrix SD-WAN 110-SE), 2. Implementación sin contacto mediante la interfaz LTE (Citrix SD-WAN 110-LTE-SE)). Con la administración en banda instalada y la conectividad a Internet adecuada configurada mediante ruptura local o backhaul a través del centro de datos, la activación se completa después de unos minutos desde que el instalador inicia el proceso de implementación sin contacto. En este punto, el trabajador doméstico puede conectar su ordenador portátil/PC a la red LAN y comenzar a trabajar desde casa hasta los recursos indicados por el administrador.

Activar

Endpoint Management

Para un administrador de SD-WAN, la administración remota de dispositivos SD-WAN distribuidos en diferentes regiones geográficas es esencial para una implementación correcta de la oficina en el hogar. Tener acceso remoto a los dispositivos SD-WAN a través de la herramienta de administración central es importante para la configuración, la supervisión y la solución de problemas.

Administración en banda

Las capacidades de administración en banda permiten que las interfaces de datos transporten datos y tráfico de administración sin tener que configurar una interfaz de administración fuera de banda. Las capacidades de administración en banda se aprovechan para facilitar el procedimiento Zero Touch Deployment, eliminando la necesidad de que los instaladores in situ tengan que configurar el acceso de administración independiente o incluso eliminar la necesidad de acceder a las interfaces web locales en absoluto. El aprovisionamiento en banda se introdujo recientemente en las plataformas SD-WAN 110-SE y VPX a partir de R11.1.1. Para obtener más detalles consulte Gestión en banda de Orchestrator.

Configuración de reserva

La configuración de reserva es otra función importante para ayudar a mantener la conectividad desde el dispositivo SD-WAN a Citrix Cloud Services en caso de fallas como la licencia o el software no coinciden. La configuración de reserva está habilitada de forma predeterminada en dispositivos que tienen un perfil de configuración predeterminado con una imagen de fábrica R11.1.1 o superior. (Para más detalles consulte Configuración de reserva de Orchestrator)

Servicios de entrega

Los servicios de entrega se pueden definir globalmente para limitar la conectividad SD-WAN para túneles de Internet, Intranet, IPSec o GRE. Por ejemplo, esto puede incluir la definición de directivas locales de cada sitio remoto para túnel del tráfico enlazado a Internet a través de soluciones Secure Web Gateway, por ejemplo, Citrix Secure Internet Access, que puede ser una función útil para los casos de uso de la oficina doméstica. (Para más detalles consulte Servicios de entrega de Orchestrator)

Directivas de redirección

Las directivas de redirección se pueden definir globalmente para permitir la dirección del tráfico. Como ejemplo, esto puede incluir la ruptura directa del tráfico de O365 para un rendimiento de baja latencia. (Para más detalles consulte Redirección de Orchestrator)

Directivas de firewall

Las directivas de firewall se pueden definir globalmente para limitar a los Usuarios domésticos solo a aplicaciones críticas para el negocio. Por ejemplo, esto puede incluir la configuración de la configuración global del firewall para eliminar todo el tráfico y configurar directivas para limitar estrictamente solo cierto tráfico (por ejemplo, Citrix Virtual Apps and Desktops) a través del servicio Virtual Path Service y O365 a través del Servicio Internet. (Para más detalles consulte Seguridad de Orchestrator)

Referencias

Para obtener más información, consulte:

Productividad remota de empleados

Resumen técnico de Citrix SD-WAN para oficina en el hogar

Decisiones de diseño de oficinas domésticas de Citrix SD-WAN

Guía de POC de Citrix SD-WAN para oficinas domésticas