Citrix SD-WAN

零接触

注意

仅在选择 Citrix SD-WAN 设备时支持零接触部署服务:

  • SD-WAN 110 标准版
  • SD-WAN 210 Standard Edition
  • SD-WAN 410 Standard Edition
  • SD-WAN 2100 Standard Edition
  • SD-WAN 1000 Standard Edition(需要重新创建映像)
  • SD-WAN 1000 企业版(高级版)(需要重新映像)
  • SD-WAN 1100 标准版
  • SD-WAN 1100 Premium (Enterprise) Edition
  • SD-WAN 2000 标准版(需要重新映像)
  • SD-WAN 2000 企业版(高级版(需要重新映像)
  • SD-WAN AWS VPX 实例

零接触部署 (ZTD) 云服务是一种基于 Citrix 运行和托管的基于云的服务,它允许在 Citrix SD-WAN 网络中发现新设备,主要侧重于简化分支机构或云服务办公室位置的 Citrix SD-WAN 的部署过程。零接触部署云服务可通过公共互联网访问从网络中的任何点公开访问。零接触部署云服务可通过安全套接字层 (SSL) 协议访问。

零接触部署云服务与后端 Citrix 服务安全地通信,托管已购买零接触功能设备(例如 SD-WAN 410-SE、2100-SE)的 Citrix 客户的存储标识。后端服务已到位以验证任何零接触部署请求,正确验证客户帐户与 Citrix SD-WAN 设备序列号之间的关联。

ZTD 高级体系结构和工作流程

数据中心站点:

Citrix SD-WAN 管理员 — 具有 SD-WAN 环境的管理权限的用户,其主要职责如下:

  • 使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置

  • Citrix Cloud 登录为新站点节点部署启动零接触部署服务。

    注意

    如果您的 SD-WAN Center 通过代理服务器连接到 Internet,则必须在 SD-WAN Center 上配置代理服务器设置。有关详细信息,请参阅 零接触部署的代理服务器设置

网络管理员 — 负责企业网络管理(DHCP、DNS、互联网、防火墙等)的用户

  • 如有必要,请将防火墙设置为从 SD-WAN Center 向 FQDN sdwanzt.citrixnetworkapi.net 出站通信。

远程站点:

现场安装人员 — 负责现场活动的当地联系人或聘请安装人员,主要职责如下:

  • 物理解压 Citrix SD-WAN 设备的包装。

  • 重新映像非 ZTD 就绪设备。

    • 所需的:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE

    • 不需要:SD-WAN 410-SE、2100-SE

  • 电源线的设备。

  • 在管理界面(例如 MGMT 或 0/1)上连接设备以便连接互联网。

  • 在数据接口(例如 AP.WAN、APB.WAN、APC.WAN、APC.WAN、0/2、0/3、0/5 等)上连接设备的电缆连接。

    注意

    每种型号的接口布局都有所不同,因此请参考有关识别数据和管理端口的文档。

    零接触部署

需要满足以下必备条件,才能启动任何零接触部署服务:

  • 主动运行 SD-WAN 提升到主控制节点 (MCN)。

  • 主动运行 SD-WAN 中心,通过虚拟路径连接到 MCN。

  • https://onboarding.cloud.com 上创建的 Citrix Cloud 登录凭据(请参阅以下有关帐户创建的说明)。

  • 在端口443上直接管理或通过代理服务器管理到 Internet网络连接(SD-WAN Center 和 SD-WAN 设备)。

  • (可选)在客户端模式下,至少有一台主动运行在分支机构的 SD-WAN 设备,并且有效的虚拟路径可以连接到 MCN,以帮助验证在现有底层网络中成功建立的路径。

最后一个先决条件不是必需的,但允许 SD-WAN 管理员验证底层网络是否允许在任何新添加的站点完成零接触部署时建立虚拟路径。主要来说,这将验证相应的防火墙和路由策略是否存在相应的 NAT 流量或确认 UDP 端口 4980 是否能够成功穿透网络以访问 MCN。

零接触部署 1

零接触部署服务概述

零接触部署服务与 SD-WAN Center 结合使用,以提供更易于部署的分支机构 SD-WAN 设备。SD-WAN 中心配置并用作 SD-WAN 标准和企业(高级)版设备的中央管理工具。要使用零接触部署服务(或零接触部署云服务),管理员必须首先部署环境中的第一台 SD-WAN 设备,然后将 SD-WAN 中心配置并部署为管理的中心点。当 SD-WAN 中心(9.1 版或更高版本)在端口 443 上连接到公共互联网的情况下安装时,SD-WAN Center 会自动启动云服务并安装必要的组件,以解锁零接触部署功能,并在 GUI 中提供零接触部署选项SD-WAN 中心。在 SD-WAN 中心软件中默认情况下,零接触部署不可用。这是专门设计的,以确保在允许管理员启动任何涉及零接触部署的现场活动之前,底层网络上已存在适当的初步组件。

正在运行的 SD-WAN 环境启动并向零接触部署服务中运行注册后,将通过创建 Citrix Cloud 帐户登录来完成。由于 SD-WAN Center 能够与零接触部署服务进行通信,GUI 在配置选项卡下公开“零接触部署”选项。登录零接触服务会验证与特定 SD-WAN 环境关联的客户 ID,并注册 SD-WAN 中心,此外还可解锁帐户以进一步验证零接触部署设备部署的身份。

使用 SD-WAN Center 中的网络配置工具,SD-WAN 管理员将需要利用模板或克隆站点功能构建 SD-WAN 配置来添加新站点。SD-WAN 中心使用新配置,为新添加的站点启动零接触部署的部署。当 SD-WAN 管理员使用零接触部署过程启动站点进行部署时,他或她可以选择预先验证用于零接触部署的设备,方法是预填充序列号,并启动与现场安装程序的电子邮件通信,以便在现场开始活动。

现场安装程序会接收电子邮件通信,表明该站点已准备就绪,可以进行零接触部署,并且可以开始执行安装过程,以便在 MGMT 端口上启动并连接设备,以实现 DHCP IP 地址分配以及访问 Internet。此外,在任何 LAN 和 WAN 端口中连接布线。其他一切都由零接触部署服务启动,并通过使用激活 URL 监控进度。如果要安装的远程节点是云实例,打开激活 URL 时,将开始执行工作流以自动在指定的云环境中安装实例,本地安装程序不需要执行任何操作。

零接触部署云服务可自动执行以下操作:

如果分支设备上有新功能,请下载并更新零接触部署代理。

  • 通过验证序列号对分支设备进行身份验证。

  • 验证 SD-WAN 管理员是否使用 SD-WAN 中心接受该站点进行零接触部署。

  • 从 SD-WAN Center 拉出目标设备特定的配置文件。

  • 将特定于目标设备的配置文件推送到分支设备。

  • 在分支设备上安装配置文件。

  • 将任何丢失的 SD-WAN 软件组件或所需更新推送到分支设备。

  • 推送一个临时 10 Mbps 许可证文件,以确认与分支设备建立的虚拟路径。

  • 在分支设备上启用 SD-WAN 服务。

要在设备上安装永久性许可证文件,SD-WAN 管理员需要执行更多步骤。

注意

在执行已经具有 MCN 中使用的设备软件版本的分支配置时,零接触部署过程将不会再次下载设备软件文件。此更改适用于出厂发货的新设备、设备重置为出厂默认值以及以管理方式重置配置。在配置重置的情况下,选中恢复后重新启动复选框以启动 ZTD 进程。

零接触部署设备过程

以下过程详细介绍了使用零接触部署服务部署新站点所需的步骤。有一个正在运行的 MCN 和一个客户端节点已经与 SD-WAN Center 进行正确的通信,以及已建立的虚拟路径确认跨底层网络的连接性。要启动零接触部署,SD-WAN 管理员需要执行以下步骤:

零接触部署 2

如何配置零接触部署服务

SD-WAN Center 可以接受来自新连接的设备的请求以加入 SD-WAN Enterprise 网络。请求通过零接触部署服务转发到 Web 界面。设备连接到服务后,将下载配置和软件升级软件包。

配置工作流

  • 访问 SD-WAN 中心 > 创建新站点配置 或导入现有配置并保存它。

  • 登录到 Citrix 云以启用零接触部署服务。“零接触部署”菜单选项现在显示在 SD-WAN 中心 Web 管理界面中。

  • 在 SD-WAN 中心中,导航到配置”>“零接触部署”>“部 署新站点”

  • 选择一个设备,单击 启用,然后单击 部署

  • 安装程序收到激活电子邮件 > 输入序列号 > 激活 > 设备已成功部署。

要配置零接触部署服务,请执行以下操作:

  1. 使用启用的零接触部署功能安装 SD-WAN Center:

  2. 使用 DHCP 分配的 IP 地址安装 SD-WAN 中心。

  3. 验证 SD-WAN Center 是否分配了正确的管理 IP 地址和网络 DNS 地址,并通过管理网络与公用 Internet 建立连接。

  4. 将 SD-WAN 中心升级到最新的 SD-WAN 软件版本。

  5. 通过正确的互联网连接,SD-WAN 中心启动零接触部署云服务,并自动下载和安装特定于零接触部署的任何固件更新,如果此呼叫总部过程失败,则以下零接触部署选项将不可用于 GUI。

    中兴公司 SD-WAN 中心

  6. 阅读条款和条件,然后选择 我确认我已阅读并同意上述条款与条件

  7. 如果已创建 Citrix Workspace 云帐户,请单击“登录到 Citrix 工作区云”按钮。

  8. 登录到 Citrix Cloud 帐户,收到以下成功登录消息后, 请不要关闭此窗口,此过程需要另外 20 秒才能刷新 SD-WAN 中心 GUI。 窗口完成后应该自行关闭。

    Citrix 云零接触部署

  9. 要创建云登录帐户,请按照以下步骤操作:打开 Web 浏览器以 https://onboarding.cloud.com

  10. 点击 等待链接, 我有一个 Citrix.com 帐户.

Citrix 云零接触部署登录

  1. 使用现有 Citrix 帐户登录。

Citrix 云零接触部署登录页面

  1. 登录到 SD-WAN 中心零接触部署页面后,您可能会注意到没有站点可用于零接触部署,原因如下:
  • 尚未从 配置 下拉菜单中选择活动配置

  • 当前活动配置的所有站点都已部署

  • 配置不是使用 SD-WAN Center 建立的,而是在 MCN 上可用的配置编辑器

  • 站点未在引用零触摸功能设备的配置中构建(例如 410-SE、21000-SE、云 VPX)

  1. 更新配置以使用 SD-WAN 中心网络配置添加具有支持 ZTD 的 SD-WAN 设备新远程站点。

如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,则从 MCN 导入活动配置,然后开始使用 SD-WAN Center 修改配置。为实现零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。必须使用以下过程添加针对零接触部署的新站点。

  1. 通过首先列出新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、带宽与带宽及其各自的网关),为 SD-WAN 设备部署设计新站点。
  > **重要**
  >
  > 您可能会注意到任何已选择 VPX 作为模型的站点节点也会被列出,但当前零接触部署支持仅适用于 AWS VPX 实例。
  >
  > **注意**
  >
  > -  请务必使用 Citrix SD-WAN Center 支持的 Web 浏览器
  >
  > -  确保 Web 浏览器在 Citrix Workspace 登录过程中不阻止任何弹出窗口

  ![零接触部署 3](/en-us/citrix-sd-wan/11-1/media/ztd-deployment-3.png)

  这是分支机构站点的部署示例,SD 设备物理上部署在 172.16.30.0/24 网络中的现有 MPLS WAN 链接的路径中,并通过将现有备份链接启用为 "活动" 状态并将其终止而使用现有备份链接。WAN 链接直接连接到不同子网 172.16.31.0/24 上的 SD-WAN 设备。

  > **注意**
  >
  > SD-WAN 设备可自动分配默认 IP 地址 192.168.100.1/16。默认启用 DHCP 后,网络中的 DHCP 服务器可能会在与默认值重叠的子网中为设备提供第二个 IP 地址。这可能会导致设备上的路由问题,即设备可能无法连接到零接触部署 Cloud Service。将 DHCP 服务器配置为分配在 192.168.0.0/16 范围内的 IP 地址。
  >
  > 有各种不同的部署模式可用于在网络中放置 SD-WAN 产品。在上面的示例中,将在现有网络基础结构的顶部将 SD-WAN 部署为覆盖。对于新站点,SD-WAN 管理员可以选择在边缘或网关模式部署 SD-WAN,从而无需使用 WAN 边缘路由器和防火墙,并将边缘路由和防火墙的网络需求整合到 SD-WAN 解决方案中。
  1. 打开 SD-WAN 中心 Web 管理界面,然后导航到“配置”\ >“网络配置”页。零接触部署 SD-WAN 中心页面

  2. 确保已准备好正在运行的配置,或从 MCN 导入配置。

  3. 导航到 高级 选项卡以创建站点。

  4. 打开 站点 磁贴以显示当前配置的站点。

  5. 通过使用任何现有站点的克隆功能,快速构建新站点的配置。SD-WAN 零接触部署新站点

  6. 填充为此新分支站点 SD-WAN 零接触部署新站点创建设计的拓扑中的所有必填字段

  7. 克隆新站点后,导航到站点的 基本设置,并验证是否正确选择了支持零接触服务的 SD-WAN 型号。SD-WAN 零接触部署站点基本设置

可以更新站点的 SD-WAN 型号,但请注意,可能需要重新定义接口组,因为更新后的设备可能具有新的接口布局,然后是用于克隆的接口布局。

  1. 将新配置保存在 SD-WAN Center 上,并使用导出到 更改管理收件箱 选项使用变更管理推送配置。

  2. 按照更改管理过程正确转移新配置,这使现有 SD-WAN 设备知道要通过零接触部署的新站点,您必须使用“忽略未完成”选项跳过将配置推送到仍然必须转到的新站点的尝试通过零接触部署工作流。零接触部署变更管理

  3. 导航回 SD-WAN Center 零接触部署页面,在运行新的活动配置的情况下,将有新站点可供部署。

  4. 在“零接触部署”页面的部署新站点选项卡下,选择正在运行的网络配置文件

  5. 选择正在运行的配置文件后,将显示支持零接触的未部署 SD-WAN 设备的所有分支站点的列表。零接触部署 SD-WAN 中心部署新站点

  6. 选择要为零接触服务配置的分支站点,单击 启用,然后单击 部署零接触部署 SD-WAN 中心部署新站点 1

  7. 此时将显示部署新站点弹出窗口,在此窗口中,管理员可以提供序列号、分支站点街道地址、安装程序电子邮件地址以及其他备忘录(如有必要)。部署新站点零接触部署新

注意

“序列号”条目字段为可选字段,如果填充了此字段,则会导致安装程序负责在现场活动中进行更改。

   >-如果填充了序列号字段 — 中的安装程序不需要在通过部署站点命令生成的激活 URL 中输入序列号 >-如果序列号字段留为黑色-安装程序将负责在激活中输入正确的设备序列号使用部署站点命令生成的 URL
  1. 单击部署按钮后,将显示一条消息,指示“已部署站点配置。此操作将触发 SD-WAN 中心(该中心先前注册到零接触部署云服务)共享此特定站点的配置,以便在零接触部署云服务中存储。

  2. 导航到 “挂起的激活” 选项卡,确认已成功填充分支站点信息,并将其设置为待执行的安装程序活动状态。挂起激活零接触部署

注意

如果信息不正确,则可以选择处于“挂起激活”状态的零接触部署来删除或修改。如果从 “挂起的激活” 页面中删除了一个站点,该站点将可以在部署新站点选项卡页面中部署。选择将分支站点从挂起的激活中删除后,发送到安装程序的激活链接将失效。

如果 SD-WAN 管理员未填充序列号字段,则状态字段指示“等待安装程序”而不是“正在连接”。

  1. 下一系列活动由现场安装程序执行。

  2. 安装程序验证 SD-WAN 管理员在部署站点时使用的电子邮件地址的邮箱。

    零接触部署激活链接

2. 在互联网浏览器窗口中打开零接触部署激活 URL(例如 https://sdwanzt.citrixnetworkapi.net)。

3. 如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装程序将负责在物理设备上查找序列号,并将序列号手动输入到激活 URL 中,然后单击 激活 按钮。

  ![Citrix 零接触部署登录](/en-us/citrix-sd-wan/11-1/media/citrix-ztd-login.png)

4. 如果管理员预填充序列号信息,激活 URL 将一直准备执行下一个步骤。

  ![Citrix 零接触部署过程流警告](/en-us/citrix-sd-wan/11-1/media/citrix-ztd-process-flow-warning.png)

5. 安装程序的物理位置必须在现场,以执行以下操作:

  -  连接所有 WAN 和 LAN 接口,使其与之前步骤中构建的拓扑和配置相匹配。

  -  在网络中提供 DHCP IP 地址和通过 DNS 将 FQDN 连接到 IP 地址解析的网络段中的管理接口(MGMT、0/1)电缆。

  -  电源线 SD-WAN 设备。

  -  打开设备的电源开关。

     > **注意**
     >
     > 连接电源线时,大多数设备将自动启动。某些设备可能必须使用设备前面的电源开关打开电源,其他设备可能在设备背面安装了电源开关。某些电源开关需要按住电源按钮,直到设备通电。
  1. 下一系列步骤通过零接触部署服务的帮助自动完成,但需要使用以下必备条件。
  • 分支设备必须打开电源

  • DHCP 必须在现有网络中可用,以分配管理和 DNS IP 地址

  • 任何 DHCP 分配的 IP 地址都要求连接到 Internet,能够解析 FQDN

  • 只要满足其他先决条件,就可以手动配置 IP 分配

    1. 设备从网络 DHCP 服务器获取 IP 地址,在此示例中,拓扑通过出厂默认状态设备的跳过数据接口实现。
      ![开启 SD-WAN 零接触部署](/en-us/citrix-sd-wan/11-1/media/power-on-sd-wan-ztd.png)
    
    1. 当设备从底层网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,设备将启动零接触部署服务并下载任何与零接触部署相关的软件更新。

    2. 成功连接到零接触部署云服务后,部署过程会自动执行以下操作:

    • 下载 SD-WAN 中心之前存储的配置文件

    • 将配置应用于本地设备

    • 下载并安装临时 10 MB 许可证文件

    • 下载并安装任何软件更新(如有需要)

    • 激活 SD-WAN 服务

       ![Citrix 零接触部署过程流](/en-us/citrix-sd-wan/11-1/media/citrix-ztd-process-flow.png)
      
    1. 进一步确认可以在 SD-WAN Center Web 管理界面进行,零接触部署菜单会在 激活历史记录 选项卡中显示已成功激活的设备。
      ![零接触部署激活历史记录](/en-us/citrix-sd-wan/11-1/media/ztd-activation-history.png)
    
    1. 虚拟路径可能不会立即显示为连接状态,因为 MCN 可能不信任从零接触部署云服务传递的配置,并在 MCN 仪表板中报告“配置版本不匹配”。
      ![零接触部署虚拟路径状态](/en-us/citrix-sd-wan/11-1/media/ztd-virtual-path-status.png)
    
    1. 配置将重新传送到新安装的分支办公室设备,并在 MCN \ > 配置\ >虚拟 WAN** \ > **更改管理 页面上监视状态(此过程可能需要几分钟才能完成)。
      ![零接触部署变更管理流程向导](/en-us/citrix-sd-wan/11-1/media/ztd-change-management-process-wizard.png)
    
    1. SD-WAN 管理员可以监视面向已建立的远程站点虚拟路径的头端 MCN Web 管理页面。
      ![零接触部署虚拟路径](/en-us/citrix-sd-wan/11-1/media/ztd-virtual-apths.png)
    
    1. SD-WAN 中心还可用于在 配置 \ > 网络发现 \ > 清单和状态 页面中标识现场设备的 DHCP 分配 IP 地址。
      ![零接触部署 SD-WAN 中心网络发现](/en-us/citrix-sd-wan/11-1/media/ztd-sd-wancenter-network-discovery.png)
    
    1. 此时,SD-WAN 网络管理员可以通过使用 SD-WAN 覆盖网络对现场设备进行 Web 管理访问。
      ![零接触部署远程 GUI 访问](/en-us/citrix-sd-wan/11-1/media/ztd-remote-gui-access.png)
    
    1. 对远程站点设备进行 Web 管理访问指示已使用临时宽限期 10 Mbps 来安装设备,这样可使虚拟路径服务状态报告为活动状态。
      ![零接触部署宽限许可证](/en-us/citrix-sd-wan/11-1/media/ztd-grace-license.png)
    
    1. 可以使用“配置\ >虚拟 WAN\ >查看 配置”页来验证设备配置。
      ![零接触部署许可证验证页](/en-us/citrix-sd-wan/11-1/media/ztd-license-validate-page.png)
    
    1. 可以使用配置 > 设备设置 > 许可页面将设备许可证文件更新为永久许可证。
      ![零接触部署许可证配置页](/en-us/citrix-sd-wan/11-1/media/ztd-license-config-page.png)
    

上载并安装永久许可证文件后,Grace 许可证警告横幅消失,并且在许可证安装过程中不会发生与远程站点的连接丢失(丢弃零 ping)。

零接触