Citrix SD-WAN

零接触

注意

仅在选择 Citrix SD-WAN 设备时支持零接触部署服务:

  • SD-WAN 210 标准版
  • SD-WAN 410 标准版
  • 南方广域网 2100 标准版
  • SD-WAN 1100 标准版
  • SD-WAN 1100 Premium Edition
  • SD-WAN 1000 Standard Edition(需要重新创建映像)
  • SD-WAN 1000 Enterprise Edition (Premium Edition)
  • 南方广域网 2000 标准版
  • SD-WAN 2000 Enterprise Edition (Premium Edition)
  • SD-WAN AWS VPX 实例

零接触部署 (ZTD) 云服务是 Citrix 运营和托管的基于云的服务,允许在 Citrix SD-WAN 网络中发现新设备,主要侧重于简化 Citrix SD-WAN 在分支机构或云服务办公室位置的部署过程。ZTD 云服务可通过公共互联网接入从网络的任何点公开访问。ZTD 云服务可通过安全套接字层 (SSL) 协议访问。

ZTD 云服务可与托管已购买零接触功能设备的 Citrix 客户的存储标识的后端 Citrix 服务进行安全通信(例如 SD-WAN 410-SE、2100-SE)。后端服务已到位,可对任何零接触部署请求进行身份验证,从而正确验证客户帐户与 Citrix SD-WAN 设备的序列号之间的关联。

ZTD 高级架构和工作流程

数据中心站点:

Citrix SD-WAN 管理员 – 具有以下主要职责的 SD-WAN 环境的管理权限的用户:

  • 使用 Citrix SD-WAN Center 网络配置工具创建配置,或从主控制节点 (MCN) SD-WAN 设备导入配置

  • Citrix Cloud 登录为新站点节点部署启动零接触部署服务。

    注意

    如果您的 SD-WAN Center 通过代理服务器连接到 Internet,则必须在 SD-WAN Center 上配置代理服务器设置。有关更多信息,请参阅 零接触部署的代理服务器设置

网络管理员–负责企业网络管理(DHCP、DNS、Internet、防火墙等)的用户

  • 如有必要,请将防火墙设置为从 SD-WAN Center 向 FQDN sdwanzt.citrixnetworkapi.net出站通信。

远程站点:

现场安装程序–本地联系或使用以下主要职责的上门活动安装程序:

  • 物理解压缩 Citrix SD-WAN 设备。

  • 重新映像非 ZTD 就绪设备。

    • 所需的:SD-WAN 1000-SE、2000-SE、1000-EE、2000-EE

    • 不需要:南方广域网 410-东南方、2100 东南方

  • 电源线的设备。

  • 在管理接口上连接设备的 Internet 连接(例如,管理或 0/1)。

  • 在数据接口(例如 apA.WAN、apB.WAN、apC.WAN、0/2、0/3、0/5 等)上连接设备以实现 WAN 链接连接。

    注意

    每种模式的界面布局各不相同,因此,请参阅文档以了解数据和管理端口的标识。

    本地化后的图片

需要满足以下必备条件,才能启动任何零接触部署服务:

  • 主动运行 SD-WAN 提升到主控制节点 (MCN)。

  • 通过虚拟路径连接到 MCN,积极运行 SD-WAN 中心。

  • https://onboarding.cloud.com 上创建 Citrix Cloud 登录凭据(在创建帐户时引用下面的说明)。

  • 在端口443上直接管理或通过代理服务器管理到 Internet网络连接(SD-WAN Center 和 SD-WAN 设备)。

  • 选择性在客户端模式下,至少有一台主动运行在分支机构的设备上运行,并且有效的虚拟路径可以连接到 MCN,以帮助验证在现有 underlay 网络中成功建立的路径。

最后一个先决条件不是要求,但允许 SD-WAN 管理员验证底层网络是否允许在零接触部署完成任何新添加的站点时建立虚拟路径。主要来说,这将验证相应的防火墙和路由策略是否已到位,以便相应的 NAT 流量或确认 UDP 端口 4980 是否能够成功穿透网络以达到 MCN。

本地化后的图片

零接触部署服务概述

零接触部署服务与 SD-WAN Center 结合使用,以提供更易于部署的分支机构 SD-WAN 设备。SD-WAN 中心配置并用作 SD-WAN 标准版和企业版(高级)设备的集中管理工具。要使用零接触部署服务(或 ZTD 云服务),管理员必须首先在环境中部署第一台 SD-WAN 设备,然后将 SD-WAN 中心配置为管理中心。当 SD-WAN 中心(9.1 版或更高版本)安装了连接到端口 443 上的公共互联网时,SD-WAN 中心会自动启动云服务并安装必要的组件,以解锁零接触部署功能,并在 GUI 中使零接触部署选项可用的 SD-WAN 中心. 默认情况下,零接触部署在 SD-WAN 中心软件中不可用。这是为了在允许管理员启动任何涉及零接触部署的现场活动之前,确保底层网络中存在适当的初始组件。

正在运行的 SD-WAN 环境启动并向零接触部署服务中运行注册后,将通过创建 Citrix Cloud 帐户登录来完成。SD-WAN 中心能够与 ZTD 服务通信,GUI 会在 “配置” 选项卡下显示零接触部署选项。登录到 Zero Touch 服务将验证与特定 SD-WAN 环境关联的客户 ID,并注册 SD-WAN 中心,此外还可以解锁帐户以进一步验证 ZTD 设备部署。

使用 SD-WAN 中心中的网络配置工具,SD-WAN 管理员将需要利用模板或克隆站点功能来构建 SD-WAN 配置以添加新站点。SD-WAN 中心使用新配置为新添加的站点启动 ZTD 的部署。当 SD-WAN 管理员使用 ZTD 进程启动站点进行部署时,他或她可以选择预先对要用于 ZTD 的设备进行身份验证,方法是预填充序列号,并启动与现场安装程序的电子邮件通信以开始现场活动。

现场安装程序会接收电子邮件通信,表明该站点已准备就绪,可以进行零接触部署,并且可以开始执行安装过程,以便在管理端口上启动并连接设备,以实现 DHCP IP 地址分配以及访问 Internet。此外,在任何局域网和 WAN 端口中布线。其他一切都由 ZTD 服务启动,进度由使用激活 URL 进行监视。如果要安装的远程节点是云实例,打开激活 URL 时,将开始执行工作流以自动在指定的云环境中安装实例,本地安装程序不需要执行任何操作。

零接触部署云服务可自动执行以下操作:

如果分支设备上提供了新功能,请下载并更新 ZTD 代理。

  • 通过验证序列号对分支设备进行身份验证。

  • 通过身份验证 SD-WAN 管理员是否已使用 SD-WAN Center 接受了用于 ZTD 的站点。

  • 从 SD-WAN Center 拉出目标设备特定的配置文件。

  • 将特定于目标设备的配置文件推送到分支设备。

  • 在分支设备上安装配置文件。

  • 将任何丢失的 SD-WAN 软件组件或所需更新推送到分支设备。

  • 推送一个临时 10 Mbps 许可证文件,以确认与分支设备建立的虚拟路径。

  • 在分支设备上启用 SD-WAN 服务。

要在设备上安装永久性许可证文件,需要使用更多步骤。

零接触部署过程

以下过程详细介绍了使用零接触部署服务部署新站点所需的步骤。已有一个正在运行的 MCN 和一个客户端节点与 SD-WAN 中心进行正确的通信,以及已建立的虚拟路径,确认整个底层网络的连接。要启动零接触部署,需要执行以下步骤:

本地化后的图片

如何配置零接触部署服务

SD-WAN Center 可以接受来自新连接的设备的请求以加入 SD-WAN Enterprise 网络。请求通过零接触部署服务转发到 Web 界面。设备连接到服务后,将下载配置和软件升级软件包。

配置工作流

  • 访问 SD-WAN Center > 创建新站点配置或导入现有配置并保存。

  • 登录 Citrix Workspace 云以启用 ZTD 服务。零接触部署菜单选项现在显示在 SD-WAN 中心 Web 管理界面中。

  • 在 SD-WAN Center 中,导航到配置 > 零接触部署 > 部署新站点

  • 选择一个设备,单击 启用,然后单击 部署

  • 安装程序接收激活电子邮件 > 输入序列号 > 激活 > 设备已成功部署。

要配置零接触部署服务,请执行以下操作:

  1. 使用启用的零接触部署功能安装 SD-WAN Center:

    1. 使用 DHCP 分配的 IP 地址安装 SD-WAN 中心。

    2. 验证 SD-WAN Center 是否分配了正确的管理 IP 地址和网络 DNS 地址,并通过管理网络与公用 Internet 建立连接。

    3. 将 SD-WAN 中心升级到最新的 SD-WAN 软件发布版本。

    4. 通过正确的互联网连接,SD-WAN 中心启动零接触部署 (ZTD) 云服务,并自动下载和安装特定于 ZTD 的任何固件更新,如果此呼叫家庭过程失败,以下零接触部署选项将不可用于 GUI。

      本地化后的图片

    5. 阅读条款和条件,然后选择 我确认我已阅读并同意上述条款和条件

    6. 如果已创建 Citrix Cloud 帐户,请单击登录 Citrix Workspace 云按钮。

    7. 登录到 Citrix Cloud 帐户,收到以下成功登录消息后, 请不要关闭此窗口,该过程需要另外 20 秒钟才能刷新 SD-WAN Center GUI。窗口完成后应该自行关闭。

      本地化后的图片

  2. 要创建云登录帐户,请按照以下步骤操作:打开 Web 浏览器https://onboarding.cloud.com

  3. 单击链接 等待, 我有一个 Citrix.com 帐户.

    本地化后的图片

  4. 使用现有 Citrix 帐户登录。

    本地化后的图片

  5. 登录到 SD-WAN Center 零接触部署页面后,您可能会注意到 ZTD 部署中不存在任何站点,原因如下:

    • 尚未从 配置 下拉菜单中选择活动配置

    • 当前活动配置的所有站点都已部署

    • 配置不是使用 SD-WAN Center 建立的,而是在 MCN 上可用的配置编辑器

    • 站点未在配置中构建引用零个支持触摸的设备(例如 410-SE、2100-SE、Cloud VPX)

  6. 更新配置,以使用ZTD 功能的 SD 设备(使用 SD-WAN Center 网络配置)添加新远程站点。

    如果 SD-WAN 配置不是使用 SD-WAN Center 网络配置构建的,则从 MCN 导入活动配置,然后开始使用 SD-WAN Center 修改配置。为实现零接触部署功能,SD-WAN 管理员必须使用 SD-WAN Center 构建配置。应使用以下过程添加针对零接触部署的新站点。

    1. 通过首先列出新站点的详细信息(即设备型号、接口组使用情况、虚拟 IP 地址、带宽与带宽及其各自的网关),为 SD-WAN 设备部署设计新站点。

      重要

      您可能会注意到任何已选择 VPX 作为模型的站点节点也会列出,但目前 ZTD 支持仅适用于 AWS VPX 实例。

      注意

      • 请务必使用 Citrix SD-WAN Center 支持的 Web 浏览器

      • 确保 Web 浏览器在 Citrix Workspace 登录过程中不阻止任何弹出窗口

      本地化后的图片

      这是分支机构站点的部署示例,SD 设备物理上部署在 172.16.30.0/24 网络中的现有 MPLS WAN 链接的路径中,并通过将现有备份链接启用为 “活动” 状态并将其终止而使用现有备份链接。WAN 链接直接连接到不同子网 172.16.31.0/24 上的 SD-WAN 设备。

      注意

      SD-WAN 设备可自动分配默认 IP 地址 192.168.100.1/16。默认情况下启用 DHCP,网络中的 DHCP 服务器可能会在子网中为设备提供与默认值重叠的第二个 IP 地址。这可能会导致设备上的路由问题,设备可能无法连接到 ZTD Cloud 服务。将 DHCP 服务器配置为分配在 192.168.0.0/16 范围内的 IP 地址。

      有各种不同的部署模式可用于在网络中放置 SD-WAN 产品。在上面的示例中,将在现有网络基础结构的顶部将 SD-WAN 部署为覆盖。对于新站点,SD-WAN 管理员可以选择在边缘或网关模式部署 SD-WAN,无需使用 WAN 边缘路由器和防火墙,并将边缘路由和防火墙的网络需求整合到 SD-WAN 解决方案中。

  7. 打开 SD-WAN Center Web 管理接口,并导航到配置 > 网络配置页面。 本地化后的图片

  8. 确保已准备好正在运行的配置,或从 MCN 导入配置。

  9. 导航到 高级 选项卡以创建站点。

  10. 打开 站点 磁贴以显示当前配置的站点。

  11. 通过使用任何现有站点的克隆功能,快速构建新站点的配置。 本地化后的图片

  12. 填充为此新分支站点 本地化后的图片 设计的拓扑中的所有必填字段

  13. 克隆新站点后,导航到该站点的基本设置,并验证是否正确选择了要支持零接触服务的 SD-WAN 的型号。 本地化后的图片

    可以对站点的 SD-WAN 模型进行更新,但请注意,可能必须重新定义接口组,因为更新后的设备可能具有新的界面布局,之后将使用克隆。

  14. 在 SD-WAN 中心上保存新配置,然后使用导出到 更改管理收件箱 选项使用更改管理推送配置。

  15. 按照更改管理过程正确分阶段新配置,这使得现有 SD-WAN 设备知道要通过零接触部署的新站点,您需要使用 “忽略不完整” 选项跳过尝试将配置推送到仍需要通过 ZTD 工作流程。 本地化后的图片

  16. 导航回 SD-WAN Center 零接触部署页面,在运行新的活动配置的情况下,将有新站点可供部署。

  17. 在零接触部署页面的部署新站点选项卡下,选择正在运行的网络配置文件

  18. 选择正在运行的配置文件后,将显示支持零接触的未部署 SD-WAN 设备的所有分支站点的列表。 本地化后的图片

  19. 选择要为零接触服务配置的分支站点,单击 “ 启用”,** 然后单击 “ **部署”。 本地化后的图片

  20. 此时将显示部署新站点弹出窗口,在此窗口中,管理员可以提供序列号、分支站点街道地址、安装程序电子邮件地址以及其他备忘录(如有必要)。 本地化后的图片

    注意

    “序列号” 条目字段为可选字段,如果填充了此字段,则会导致安装程序负责在现场活动中进行更改。

       >\-  如果填充序列号字段-安装程序不需要在使用部署站点命令生成的激活 URL 中输入序列号
       >
        >\-  如果序列号字段为黑色-安装程序将负责将设备的正确序列号输入到使用部署站点命令生成的激活 URL 中
    
  21. 单击部署按钮后,将显示一条消息,指出“站点配置已部署”。此操作将触发 SD-WAN Center(以前在 ZTD 云服务中注册),以将此特定站点的配置临时存储在 ZTD 云服务中。

  22. 导航到 “挂起的激活” 选项卡,确认已成功填充分支站点信息,并将其设置为待执行的安装程序活动状态。 本地化后的图片

    注意

    如果信息不正确,可以选择 “挂起激活” 状态下的零接触部署 “删除” 或 “修改”。如果从 “挂起的激活” 页面中删除了一个站点,该站点将可以在部署新站点选项卡页面中部署。选择将分支站点从挂起的激活中删除后,发送到安装程序的激活链接将失效。

    如果 SD-WAN 管理员未填充序列号字段,则状态字段指示“等待安装程序”而不是“正在连接”。

  23. 下一系列活动由现场安装程序执行。

    1. 安装程序将验证 SD-WAN 管理员在部署站点时使用的电子邮件地址的邮箱。

      本地化后的图片

    2. 在 Internet 浏览器窗口中打开零接触部署激活 URL。

    3. 如果 SD-WAN 管理员未在部署站点步骤中预填充序列号,则安装程序将负责找到物理设备上的序列号,并手动将序列号输入到激活 URL 中,然后单击激活按钮。

      本地化后的图片

    4. 如果管理员预填充序列号信息,激活 URL 将一直准备执行下一个步骤。

      本地化后的图片

    5. 安装程序的物理位置必须在现场,以执行以下操作:

      • 连接所有 WAN 和 LAN 接口,使其与之前步骤中构建的拓扑和配置相匹配。

      • 在网络中提供 DHCP IP 地址和通过 DNS 将 FQDN 连接到 IP 地址解析的网络段中的管理接口(MGMT、0/1)电缆。

      • 电源线 SD-WAN 设备。

      • 打开设备的电源开关。

        注意

        连接电源线时,大多数设备将自动启动。某些设备可能需要使用设备前面的电源开关开启,其他设备可能需要设备后面的电源开关。某些电源开关需要按住电源按钮,直到本机上电。

  24. 下一系列步骤通过零接触部署服务的帮助自动完成,但需要使用以下必备条件。

    • 分支设备应启动电源

    • DHCP 必须在现有网络中可用,以分配管理和 DNS IP 地址

    • 任何 DHCP 分配的 IP 地址都要求连接到 Internet,能够解析 FQDN

    • 只要其他先决条件满足以下条件,就可以手动配置 IP 分配。

      1. 设备从网络 DHCP 服务器获取 IP 地址,在此示例中,拓扑通过出厂默认状态设备的跳过数据接口实现。

        本地化后的图片

      2. 当设备从 underlay 网络 DHCP 服务器获取 Web 管理和 DNS IP 地址时,该设备将启动零接触部署服务并下载所有与 ZTD 有关的软件更新。

      3. 成功连接到 ZTD 云服务后,部署过程将自动执行以下操作:

        • 下载 SD-WAN 中心之前存储的配置文件

        • 将配置应用于本地设备

        • 下载并安装临时 10 MB 许可证文件

        • 下载并安装任何软件更新(如有需要)

        • 激活 SD-WAN 服务

          本地化后的图片

      4. 进一步确认可以在 SD-WAN Center Web 管理界面中完成,在 “激活历史记录” 选项卡中,”零点触摸部署” 菜单显示成功激活的设备。

        本地化后的图片

      5. 虚拟路径可能不会立即显示在连接状态,因为 MCN 可能不信任从 ZTD 云服务传递的配置,并在 MCN 仪表板中报告 “配置版本不匹配”。

        本地化后的图片

      6. 配置将重新传递到新安装的分支机构设备,并在 MCN > 配置 > 虚拟 WAN > 更改管理 页面上监视状态(此过程可能需要几分钟才能完成)。

        本地化后的图片

      7. SD-WAN 管理员可以监视面向已建立的远程站点虚拟路径的头端 MCN Web 管理页面。

        本地化后的图片

      8. SD-WAN Center 还可用于从配置 > 网络发现 > 清单和状态页面识别现场设备的 DHCP 分配 IP 地址。

        本地化后的图片

      9. 此时,SD-WAN 网络管理员可以通过使用 SD-WAN 覆盖网络对现场设备进行 Web 管理访问。

        本地化后的图片

      10. 对远程站点设备进行 Web 管理访问指示已使用临时宽限期 10 Mbps 来安装设备,这样可使虚拟路径服务状态报告为活动状态。

        本地化后的图片

      11. 可以使用配置>虚拟 WAN>查看配置页面对设备配置进行验证。

        本地化后的图片

      12. 可以使用 配置 > 设备设 **置 > 许可 页面将 设备 许可证文件更新为永久许可证。**

        本地化后的图片

上载并安装永久许可证文件后,Grace 许可证警告横幅消失,并且在许可证安装过程中不会发生与远程站点的连接丢失(丢弃零 ping)。

零接触