设备设置
Citrix SD-WAN Orchestrator 服务允许您在站点级别配置设备设置并将其推送到远程设备。
您可以配置用户、网络适配器、NetFlow、AppFlow、SNMP、后备配置和清除流量设置。
注意
创建或编辑站点模板时,配置设备设置的选项不可用。
如果配置了 HA,请选择要更改其设备设置的主设备或辅助设备。
管理界面
管理界面允许您添加和管理本地和远程用户帐户。远程用户帐户通过 RADIUS 或 TACACS+ 身份验证服务器进行身份验证。
管理用户
您可以为站点添加新的用户帐户。要添加新用户,请导航到 “ 配置 ” > “ 设备设置” > “管理员界面” > “管理用户”,然后单击 “+用户”。
提供以下详细信息:
- 用户名:用户帐户的用户名。
- 新密码:用户帐户的密码。
- 确认密码:重新输入密码进行确认。
-
用户级别:选择以下帐户权限之一:
- 管理员:管理员帐户对所有设置具有读写权限。管理员可以对网络执行配置和软件更新。
- 查看者:查看者帐户是一个只读帐户,可以访问控制面板、报告和监控部分。
- 网络管理员:网络管理员对网络设置具有读写访问权限,对其他设置具有只读访问权限。
-
安全管理员:安全管理员对防火墙/安全相关设置具有读写权限,对其他设置具有只读访问权限。
注意
安全管理员有权禁用其他用户对防火墙的写入访问权限(管理员/查看器)。
要删除用户,请选择一个用户名并单击 “ 删除选定用户”。用户帐户和本地文件将被删除。
更改本地用户密码
要更改本地用户密码,请导航到 配置 > 设备设置 > 管理界面 > 用户帐户 > 更改本地用户密码 并提供以下值:
- 用户名:从站点配置的用户列表 中选择要更改密码的用户名。
- 当前密码:输入当前密码。对于管理员用户,此字段是可选的。
- 新密码:输入您选择的新密码。
- 确认密码:重新输入密码进行确认。
RADIUS 身份验证服务器
RADIUS 在设备上启用远程用户身份验证。要使用 RADIUS 身份验证,必须指定并配置至少一个 RADIUS 服务器。或者,您可以配置冗余的 RADIUS 服务器,最多可配置三台。服务器将按顺序进行检查。确保在 RADIUS 身份验证服务器上创建了所需的用户帐户。
要配置 RADIUS 身份验证,请导航到 配置 > 设备设置 > 管理界面 > RADIUS,然后单击 启用 RADIUS。
注意
您可以在站点上启用 RADIUS 或 TACACS+ 身份验证。您不能同时启用两者。
提供 RADIUS 服务器的主机 IP 地址和身份验证端口号。默认端口号为 1812。输入服务器密钥并确认它是用于连接到 RADIUS 服务器的密钥。指定等待来自 RADIUS 服务器的身份验证响应的时间间隔。超时值必须小于或等于 60 秒。
注意
服务器密钥 和 超时 设置应用于所有已配置的服务器。
TACACS+ 身份验证服务器
TACACS+ 在设备上启用远程用户身份验证。要使用 TACACS+ 身份验证,必须指定并配置至少一个 TACACS+ 服务器。或者,您可以配置冗余备份 TACACS+ 服务器,最多可配置三台服务器。服务器将按顺序进行检查。确保在 TACACS+ 身份验证服务器上创建所需的用户帐户。
要配置 TACACS+ 身份验证,请导航到 配置 > 设备设置 > 管理界面 > TACACS+ ,然后单击 “ 启用 TACACS+”。
注意
您可以在站点上启用 RADIUS 或 TACACS+ 身份验证。您不能同时启用两者。
- 选择加密方法以将用户名和密码发送到 TACACS+ 服务器。
- 提供 TACACS+ 服务器的主机 IP 地址和身份验证端口号。默认端口号为 49。
- 输入服务器密钥并进行确认。它是用于连接到 TACACS+ 服务器的私有密钥。
- 指定等待 TACACS+ 服务器发出身份验证响应的时间间隔。超时值必须小于或等于 60 秒。
注意
身份验证类型、 服务器密钥和 超时设置 应用于所有已配置的服务器。
NetFlow 主机设置
NetFlow 收集器会在 IP 网络流量进入或退出 SD-WAN 接口时收集 IP 网络流量。您可以使用 NetFlow 数据确定流量的来源和目的地、服务类别以及流量拥塞的原因。有关更多信息,请参阅 多个 NetFlow 收集器。
您最多可以配置三台 NetFlow 主机。要配置 NetFlow 主机设置,请导航到 配置 > 设备设置 > NetFlow 主机设置。选择 启用 NetFlow 并提供 NetFlow 主机的 IP 地址和端口号。
网络适配器
对于 Citrix SD-WAN 设备,您可以手动更改管理网络首选项、管理 IP 地址和其他网络参数。您可以更改设备的 IPv4 地址、子网掩码、网关 IP 地址、IPv6 地址和前缀,或者启用 DHCP 或 SLAAC(仅适用于 IPv6 地址)来自动获取 IP 地址。有关更多信息,请参阅 动态主机配置协议。
注意
- 如果接口用于带内管理,则无法更改 IP 地址。有关带内管理的更多信息,请参阅 带内管理。
- 仅当您将数据端口配置为带内管理端口并且配置了 Internet 服务时,带内选项才有效。在设置管理首选项之前,请确保您的配置支持对 SD-WAN 设备进行带内管理。
- 如果设备运行的是 11.4.2 或更高版本的软件版本,则可以看到 “管理网络首选项(带内和带外)” 部分。
要配置网络适配器设置,请导航到 配置 > 设备设置 > 网络适配器。
AppFlow 主机设置
AppFlow 和 IPFIX 是流导出标准,用于识别和收集网络基础架构中的应用程序和事务数据。此数据可更好地了解应用程序流量利用率和性能。
收集到的数据(称为流记录)被传输到一个或多个 IPv4 收集器。收集器可聚合流记录,并生成实时或历史报告。有关更多信息,请参阅 AppFlow 和 IPFIX。
SNMP
SNMP 用于在网络设备之间交换管理信息。SNMPv1 是 SNMP 协议的第一个版本。SNMPv2 是修订后的协议,其中包括协议数据包类型、传输映射和 MIB 结构元素的增强功能。SNMPv3 定义了 SNMP 的安全版本。SNMPv3 协议还有助于 SNMP 实体的远程配置。
SNMP 代理会在本地从设备收集管理信息,并在查询时将其发送给 SNMP 管理器。如果座席检测到设备上的紧急事件,它会向经理发出警告消息,而无需等待查询数据。这个紧急信息被称为陷阱。启用所需的 SNMP 版本代理、相应的陷阱,并提供所需的信息。有关更多详细信息,请参阅 SNMP。
要配置 SNMP 设置,请导航到 配置 > 设备设置 > SNMP
回退配置
回退配置可确保在发生链路故障、配置不匹配或软件不匹配时设备保持与零接触部署服务的连接。默认情况下,在具有默认配置文件的设备上启用回退配置。您还可以根据现有 LAN 网络设置编辑备用配置。有关更多信息,请参阅 备用配置。
流
流量部分允许您在设备上启用或禁用 Citrix Virtual WAN 服务。启用该服务可启用并启动虚拟 WAN 守护进程。如果禁用了 Citrix 虚拟广域网服务,则可以选择启用该服务。
禁用 Citrix 虚拟广域网服务
如果启用了 Citrix 虚拟 WAN 服务,则禁 用 Citrix 虚拟广域网服务选项可用。禁用该服务会停止设备上的 Virtual WAN 守护程序。
在禁用 Citrix Virtual WAN 服务之前,您可以选择收集虚拟 WAN 网络的诊断转储。
重启动态路由
您可以通过 OSPF 和 BGP 路由协议重新启动动态路由学习进程。重启动态路由选项仅用于故障排除。
警告
重新启动动态路由可能会导致网络中断。
虚拟路径
您可以选择启用或禁用 2 个站点之间的虚拟路径。您可以选择底层的各个路径(任一方向),也可以选择叠加虚拟路径。禁用单个路径会禁用整个虚拟路径。
注意
重新启动 Citrix 虚拟广域网服务后,所有路径都将重新启用。
WAN 链路上的所有路径
您可以选择启用或禁用 2 个站点之间的 WAN 链接禁用所有 WAN 链接,禁用虚拟路径。
注意
重新启动 Citrix 虚拟广域网服务后,所有广域网链接都将重新启用。
清除所有当前流量
清除流量会结束所有电流流,清除流表,重新建立流量连接,然后重新填充流表。
日期和时间
您可以手动或使用 NTP 服务器更改设备的日期和时间。要手动配置日期和时间,请确保未选择 “ 使用 NTP 服务器 ” 选项,并提供日期和时间。
如果选择 “ 使用 NTP 服务器 ” 选项,则无法手动输入当前日期和时间。您最多可以指定 4 个 NTP 服务器,但必须至少指定一个。它们充当备用 NTP 服务器,如果一台服务器出现故障,则设备会自动与另一台 NTP 服务器同步。如果您为 NTP 服务器指定域名,则还必须配置 DNS 服务器,除非您已经这样做了。
如果必须更改时区,请在设置日期和时间之前进行更改,否则您的设置将无法保留。更改时区后重新启动设备。
Syslog 服务器设置
您可以使用 Citrix SD-WAN Orchestrator 服务配置 SD-WAN 设备的 Syslog 服务器设置。通过启用 Syslog 设置,您可以将 SD-WAN 设备的系统警报和事件详细信息发送到外部 Syslog 服务器。但是,您必须导航到 配置 > 设备 设置 >记录/监控>警报选项,在 SD-WAN 设备用户界面上选择事件类型。有关更多信息,请参阅 配置警报。
以下 Syslog 服务器设置可通过 Citrix SD-WAN Orchestrator 服务进行配置:
- 启用 Syslog 消息:启用或禁用向 Syslog 服务器发送日志或事件消息。
- 服务器 IP 地址:系统日志服务器的 IP 地址。
- 服务器端口:Syslog 服务器的端口号。
- 向 Syslog进行身份验证:启用或禁用向 Syslog 服务器发送身份验证日志或事件消息。
- 向Syslog 发送防火墙日志:启用或禁用向 Syslog 服务器发送防火墙日志。
证书身份验证
Citrix SD-WAN Orchestrator 服务使用网络加密和虚拟路径 IPsec 隧道等安全技术,确保在 SD-WAN 网络中的设备之间建立安全路径。除了现有的安全措施外,Citrix SD-WAN Orchestrator 服务中还引入了基于证书的身份验证。
证书身份验证允许组织使用其私有证书颁发机构 (CA) 颁发的证书对设备进行身份验证。设备在建立虚拟路径之前进行身份验证。例如,如果分支设备尝试连接到数据中心,并且分支中心的证书与数据中心期望的证书不匹配,则不会建立虚拟路径。
CA 颁发的证书将公钥绑定到设备名称。公钥与证书标识的设备所拥有的相应私钥一起工作。
要启用设备身份验证,请在网络级别导航到 配置 > 安全 > 网络安全 ,然后选择 启用设备身份验证。单击保存。
在部署期间,如果启用了设备身份验证,但设备中未安装 PKI 证书,则暂存会显示失败状态。
查看证书
您可以前往设备详细信息页面验证 PKI 证书是否已安装。为此,请导航到 配置 > 网络主页 >单击要验证证书的站点的 操作 符号,然后单击 查看详细信息。
以下屏幕填充了站点和设备详细信息:
在 “ 设备详细信息 ” 部分下,您可以查看 PKI 证书安装状态。
上载身份包
身份包包括私钥和与私钥关联的证书。您可以将 CA 颁发的设备证书上载到设备中。证书包是一个 PKCS12 文件,扩展名为 .p12。您可以选择使用密码保护它。拖放 PKCS12 文件,输入密码并单击 “ 上传”。如果将密码字段留空,则视为无密码保护。
上载证书颁发机构包
上传与证书签名机构对应的 PKCS12 包。证书颁发机构捆绑包包括完整的签名链、根签名和所有中间签名机构。拖动 PKCS12 捆绑包并点击 上传。
创建认证签名请求
设备可以生成未签名的证书并创建证书签名请求 (CSR)。要为设备创建 CSR,请提供组织名称、单位、城镇/市、省/地区/县/市、国家和电子邮件地址。设备常用名称是自动填充且不可编辑的站点名称。单击 Create CSR(创建 CSR)。
管理证书签名请求
成功从后端生成 CSR 后,您需要从设备下载 CSR 并由其 CA 签名,然后以 PEM 或 DER 格式将其上传回设备。这用作设备的身份证书。首先上传 CA 以签署证书。
上传 CA 后,上传已签名的 CSR。
证书吊销列表管理器
证书吊销列表 (CRL) 是在网络中不再有效的证书序列号的已发布列表。CRL 文件定期下载并在本地所有设备上存储。当验证证书时,响应程序会检查 CRL 以查看启动程序证书是否已被吊销。Citrix SD-WAN 目前支持 PEM 和 DER 格式的版本 1 CRL。
要启用 CRL,请选中 “启用 CRL” 复选框。提供 CRL 文件的维护位置。支持 HTTP、HTTPS 和 FTP 位置。指定检查和下载 CRL 文件的时间间隔,范围为 1—1440 分钟。单击 “ 上传设置”。
注意
virtua1 路径的重新身份验证周期可能在 10 到 15 分钟之间,如果 CRL 更新间隔设置为较短的持续时间,则更新的 CRL 列表可能包含当前有效的序列号。让被主动吊销的证书在短时间内在您的网络中可用。
移动宽带设置
Citrix SD-WAN Orchestrator 服务允许您使用移动宽带连接将 Citrix SD-WAN 设备从分支站点连接到网络。
要配置移动宽带设置,请在站点级别导航到 配置 > 设备设置 > 移动宽带设置。
目前,可以在 Citrix SD-WAN 110 和 Citrix SD-WAN-210 设备上配置移动宽带设置。
您可以在 Citrix SD-WAN Orchestrator 服务上配置以下移动宽带设置。
SIM PIN 状态
如果您插入了使用 PIN 锁定的 SIM 卡,则 SIM 卡的状态为 “ 启用”。在使用 SIM 卡进行验证之前,您无法使用 SIM PIN。您可以从运营商处获取 SIM PIN。单击 Verify(验证)。
输入运营商提供的 SIM PIN,然后单击验证。
禁用 SIM PIN
对于已启用并验证 SIM PIN 的 SIM 卡,您可以禁用 SIM PIN 功能。单击禁用。输入 SIM PIN,然后单击禁用。
启用 SIM PIN
要启用 SIM PIN,请单击 “ 启用”。输入运营商提供的 SIM PIN,然后单击启用。
如果 SIM PIN 状态更改为 “已 启用” 和 “未验证”,则表示 PIN 未经过验证,并且在 PIN 通过验证之前您无法执行任何操作。
单击 验证 PIN。输入运营商提供的 SIM PIN,然后单击 验证 PIN 码。
修改 SIM PIN
PIN 处于“已 启用”和“已验证”状态后,您可以选择更改 PIN。
单击 Modify(修改)。输入运营商提供的 SIM PIN。输入新的 SIM PIN 并进行确认。单击 Modify(修改)。
取消阻止 SIM 卡
如果您忘记了 SIM PIN,可以使用从运营商获得的 SIM PUK 重置 SIM PIN。
要取消阻止 SIM 卡,请单击 取消阻止。输入从运营商处获取的 SIM PIN 和 SIM 卡 PUK,然后单击解除封锁。
注意
SIM 卡被永久封锁,因为 10 次尝试 PUK 失败,同时取消阻止 SIM 卡。请联系运营商以获取新的 SIM 卡。
APN 设置
要配置 APN 设置,请输入运营商提供的 APN、用户名、密码和身份验证。您可以从 PAP、CHAP或 P APCHAP 身份验证协议中进行选择。如果运营商未提供任何身份验证类型,请将其设置为无。
网络设置
您可以在支持内部调制解调器的 Citrix SD-WAN 设备上选择移动网络。
漫游
默认情况下,漫游选项在您的设备上处于启用状态。你可以选择禁用它。
管理固件
每个启用了 LTE 的设备都将拥有一组可用固件。您可以从现有的固件列表中选择或上载固件并应用它。如果您不确定要使用哪个固件,请选择 AUTO-SIM 选项,允许 LTE 调制解调器根据设备中插入的 SIM 卡选择最匹配的固件。
注意
目前,该固件只能应用于 SD-WAN SE 210 LTE 设备。
启用/禁用调制解调器
根据您使用宽带功能的意图启用或禁用调制解调器。默认情况下,调制解调器处于启用状态。
重启调制解调器
重新启动调制解调器。此过程最多可能需要 3-5 分钟才能完成重启操作。
刷新 SIM 卡
当您热插拔 SIM 卡以检测新的 SIM 卡时,请使用此选项。
移动宽带状态
移动宽带状态部分显示您的宽带配置设置的状态。要查看移动宽带状态,请在站点级别导航到 配置 > 设备设置 > 移动宽带状态。您可以查看设备和活动的 SIM 卡的状态。
以太网接口设置
以太网接口状态部分显示以太网端口的连接状态、接口类型、MAC 地址、自动协商和双工设置信息。要查看以太网接口设置,请在站点级别导航到 配置 > 设备设置 > 以太网接口设置。管理性关闭的端口以红色表示。
注意
此设置目前在 Citrix SD-WAN Orchestrator 服务用户界面上以只读模式可用。如果要修改以太网接口设置,可以使用 SD-WAN 设备的新用户界面进行修改。
